Zcash (ZEC), aset kripto yang berfokus pada privasi, mengalami kejatuhan harga hingga 30% dalam 24 jam terakhir ke level $400 di tengah tekanan pasar yang lebih luas. Aksi jual semakin meningkat setelah Shielded Labs, organisasi nirlaba pengembang Zcash, mengungkap kerentanan kritis pada pool privasi Orchard milik blockchain tersebut yang berpotensi mengancam integritas total pasokan token.
Shielded Labs mempublikasikan pengungkapan terperinci pada Kamis malam, mengungkap kerentanan yang jika dieksploitasi, dapat memungkinkan penyerang mencetak token ZEC palsu dalam jumlah tak terbatas secara sepenuhnya tidak terdeteksi. Analoginya seperti seseorang diam-diam mendapatkan akses ke mesin pencetak dolar Federal Reserve โ hanya saja Federal Reserve pun tidak akan bisa mendeteksi bahwa dolar tambahan tersebut telah dicetak.
Kerentanan ini ditemukan pada 29 Mei oleh Taylor Hornby, seorang insinyur keamanan yang direkrut Shielded Labs pada April 2026 secara khusus untuk mengidentifikasi kerentanan protokol sebelum aktor jahat menemukannya. Hornby menggunakan model AI canggih Anthropic Opus 4.8 untuk melakukan peninjauan terarah pada sirkuit Orchard โ sistem kriptografi yang mendasari pool privasi paling canggih Zcash.
Shielded Labs mengonfirmasi bahwa Hornby berhasil menulis exploit lengkap yang ketika diuji di lingkungan pengujian lokal, menghasilkan token ZEC palsu dalam jumlah tak terbatas dan tidak terdeteksi. Jika alat yang sama dijalankan di mainnet Zcash, exploit tersebut akan menghasilkan token palsu tak terbatas langsung di dompet mainnet penyerang.
Hornby segera melaporkan temuan ini ke Zcash Open Development Lab (ZODL), yang kemudian mengoordinasikan perbaikan darurat pada 1 Juni. Proses penemuan hingga penambalan memakan waktu hanya tiga hari. Namun yang mengejutkan pasar, Shielded Labs mengakui bahwa bug tersebut telah ada sejak aktivasi pool Orchard pada Mei 2022 โ artinya kerentanan ini tidak terdeteksi selama empat tahun penuh.
Yang semakin memperumit situasi adalah pengakuan Shielded Labs bahwa mereka tidak dapat memastikan apakah bug tersebut pernah dieksploitasi sebelum penambalan. Karena sifat privasi Orchard dan karakteristik bug, tidak ada cara definitif untuk menentukan menggunakan kriptografi saja apakah eksploitasi pernah terjadi sebelum kerentanan ditemukan dan diperbaiki. Shielded Labs menekankan pentingnya transparansi terkait ketidakpastian ini.
Meski demikian, organisasi ini menekankan bahwa eksploitasi kemungkinan besar tidak terjadi. Pertama, bug ini telah lolos dari pengawasan para kriptografer berpengalaman selama bertahun-tahun dan baru terungkap berkat alat AI terkini serta peneliti berketerampilan tinggi yang secara khusus bekerja untuk menemukannya. Kedua, begitu ditemukan, perbaikan dilakukan dengan sangat cepat sehingga menyisakan sedikit waktu bagi siapa pun untuk mengeksploitasinya.
Shielded Labs mengusulkan peningkatan jaringan yang memungkinkan siapa pun memverifikasi integritas total pasokan ZEC secara independen. Proposal ini melibatkan deployment pool shielded baru dan penerapan turnstile accounting pada semua koin dari pool Orchard. Detail lebih lanjut diperkirakan akan dipublikasikan minggu depan.
Organisasi ini juga mengumumkan percepatan upaya keamanan, termasuk melanjutkan kerja sama dengan Hornby, proyek verifikasi formal untuk membuktikan secara matematis bahwa tidak ada bug tersembunyi di sirkuit Orchard, serta perekrutan baru untuk posisi Head of Security dan Cryptographer.
Insiden ini menjadi pengingat bahwa bahkan protokol kripto paling mapan sekalipun dapat menyembunyikan kerentanan kritis selama bertahun-tahun, dan pentingnya audit keamanan berkelanjutan dengan alat dan metodologi terbaru.