La mise à jour qui ne passe pas inaperçu. Notre premier article sur l’incident Zcash du 3 juin décrivait une « upgrade d’urgence coordonnée » présentée comme une fausse rumeur de panne. La réalité, révélée par Zooko Wilcox le 4 juin sur X, est considérablement plus grave. Il ne s’agissait pas d’un incident technique mineur. C’était une vulnérabilité critique, et le cours de ZEC a depuis chuté de plus de 31 %.
- Une vulnérabilité critique dans Zcash a été découverte, permettant la création illimitée de ZEC contrefaits.
- Le cours de ZEC a chuté de plus de 31 % en 24 heures après la divulgation de cette faille.
Ce que Zooko a révélé : une faille de 4 ans permettant la contrefaçon illimitée
Le 29 mai 2026, le chercheur en sécurité Taylor Hornby a découvert une vulnérabilité critique dans le circuit Orchard de Zcash, permettant de créer un nombre illimité de ZEC contrefaits, indétectables, dans le pool Orchard.
La faille est technique mais son implication est limpide : quelqu’un disposant de cette connaissance aurait pu créer autant de ZEC qu’il le souhaitait, sans que personne ne puisse le détecter, précisément grâce à la confidentialité même qui fait la réputation de Zcash. La vulnérabilité provenait d’un élément insuffisamment contraint dans le circuit Orchard, permettant d’introduire de fausses valeurs dans une multiplication de courbe elliptique tout en passant quand même la vérification.
Ce qui rend l’affaire particulièrement sérieuse : cette faille existait depuis l’activation du protocole Orchard en mai 2022 jusqu’au correctif d’urgence déployé le 1er juin 2026, soit plus de quatre ans d’exposition.
Le détail qui ne manquera pas de faire parler : Taylor Hornby a découvert la vulnérabilité en utilisant le modèle Anthropic Opus 4.8 dans le cadre d’un audit ciblé, et a développé un exploit complet en environnement de test démontrant la création illimitée de ZEC contrefaits. .
La question sans réponse : a-t-elle été exploitée ?
C’est là que la situation devient inconfortable. La Zcash Foundation affirme n’avoir détecté aucune exploitation. Mais en raison des propriétés de confidentialité d’Orchard, il n’existe aucun moyen de prouver que la vulnérabilité n’a pas été exploitée avant sa correction. Zooko est transparent sur ce point : on ne peut pas en être certain. Ce que l’équipe peut dire, c’est que la faille avait échappé à des années de scrutin, ce qui rend son exploitation préalable peu probable, mais pas impossible.
Pour répondre à cette incertitude, Shielded Labs explore un Network Upgrade permettant de prouver l’intégrité totale du supply ZEC via un nouveau pool shielded avec une comptabilité de type « tourniquet » sur tous les fonds Orchard existants.
Le cours : -31 % en 24 heures
Le marché, lui, a réagi après les révélations de Zooko. ZEC a chuté de plus de 31 % en 24 heures après la révélation publique de Zooko. Une réaction sévère, mais compréhensible pour un privacy coin dont la valeur repose entièrement sur la confiance dans le protocole. Lors de l’incident du 3 juin, ZEC se négociait encore autour de 619 dollars, en hausse de 6 % sur 24 heures. La divulgation complète a changé la donne.
L’incident Zcash pose une question fondamentale que le secteur devra affronter : la confidentialité elle-même peut devenir un vecteur de vulnérabilité invisible. Ce qui protège les utilisateurs, l’impossibilité de voir ce qui se passe dans les pools shielded, est précisément ce qui rend indétectable une exploitation éventuelle. A méditer.
L’article Zcash : Une faille permettait de créer du ZEC à l’infini depuis 2022, ZEC chute de 31 % est apparu en premier sur Journal du Coin.
