Ce qu’il faut retenir :
- Un chercheur a découvert une faille critique dans le pool Orchard de Zcash, permettant de créer des ZEC contrefaits sans limite.
- La vulnérabilité, présente depuis 2022, a été corrigée le 1er juin et son exploitation est jugée peu probable.
- Elle a été repérée à l’aide du modèle Opus 4.8 d’Anthropic. Le cours du ZEC a chuté jusqu’à 60 %.
Zcash traverse une grosse frayeur. Un chercheur en sécurité a mis au jour une faille critique dans son pool de transactions « Orchard », qui aurait permis de créer un nombre « illimité » de jetons ZEC contrefaits. La révélation a fait plonger le cours de la cryptomonnaie.
Une faille dans le pool « Orchard » de Zcash
L’organisation indépendante Shielded Labs a publié ses conclusions sur X ce jeudi, après avoir mandaté l’ingénieur en sécurité Taylor Hornby en avril. Le pool Orchard est la zone de transactions confidentielles de Zcash, qui permet d’envoyer et de recevoir des ZEC en préservant totalement la vie privée grâce à des preuves à divulgation nulle de connaissance (zero-knowledge). Le « circuit » Orchard est précisément le système censé garantir que seules des transactions valides sont acceptées.
Or une partie de ce circuit était mal contrainte, ce qui rendait possible l’introduction de fausses données dans un calcul cryptographique tout en les faisant valider. « La vulnérabilité était réelle et exploitable », écrit Shielded Labs : en environnement de test, un exploit complet a généré des ZEC contrefaits « illimités et indétectables ». Présente depuis l’activation d’Orchard en mai 2022, la faille a été corrigée le 1er juin.
Découverte avec l’IA Claude Opus 4.8 d’Anthropic
Fait notable, l’arme du chercheur était l’intelligence artificielle. Le 29 mai, Hornby a identifié la faille en s’appuyant sur Claude Opus 4.8, le modèle récemment lancé par Anthropic, combiné à des techniques de recherche traditionnelles, avant d’alerter aussitôt les développeurs de Zcash.
Shielded Labs souligne que cette découverte n’avait rien d’accidentel : le chercheur a mobilisé les outils d’IA les plus récents, réservés aux hackers éthiques, pour devancer d’éventuels attaquants. Comme nous l’évoquions à propos des modèles d’Anthropic, ces technologies se révèlent aussi puissantes pour défendre que pour attaquer.
Une exploitation jugée peu probable
Reste une zone d’ombre : la confidentialité même d’Orchard rend difficile de savoir si la faille a été exploitée avant sa découverte. L’équipe se dit toutefois peu inquiète, la vulnérabilité étant passée des années sous le radar des meilleurs cryptographes du monde.
Pour s’en assurer, Shielded Labs explore une mise à jour du réseau qui permettrait à chacun de vérifier l’intégrité de l’offre de ZEC et de prouver l’absence de jetons contrefaits dans le pool, via le déploiement d’un nouveau pool sécurisé.
Et maintenant ?
La sanction du marché a été immédiate : le ZEC a perdu près de 60 % en 12 heures, tombant à 250 dollars avant de rebondir autour de 318 $.
Deux enjeux se dégagent : l’adoption de la mise à jour proposée pour restaurer la confiance dans cette cryptomonnaie axée sur la confidentialité, et, plus largement, le rôle grandissant de l’IA dans la sécurité crypto, capable d’aider les défenseurs comme de fournir un avantage aux attaquants.
Cet article vous a plu ? Recevez les prochains par email
Rejoignez +40 000 abonnés. L'essentiel du marché crypto dans votre boîte mail, tous les 2 jours.
