Zcashin salattu painajainen: Kuinka tekoälyn löytämä bugi vei 3 miljardia dollaria ja toi ne takaisin

Toukokuussa 2026 rutiininomainen tietoturvatarkastus muuttui täydeksi hälytystilaksi yksityisyyskolikko Zcashille. Anthropicin Claude AI:ta käyttänyt tutkija löysi kriittisen virheen, joka oli piileskellyt protokollan edistyneimmässä tietosuoja-altaassa neljän vuoden ajan. Jos virhettä olisi käytetty hyväksi, se olisi voinut paisuttaa Zcashin lohkoketjuun lopullisesti lukittua 21 miljoonan kolikon enimmäismäärää huomaamattomilla väärennöksillä. Julkistus laukaisi raa'an 50 prosentin romahduksen, kehittäjien nopean hätäkorjauksen ja väkivaltaisen short squeezen, joka sinkosi hinnan takaisin yli 530 dollariin. Mutta vaikka bugi on nyt paikattu, tapaus paljasti epämukavan totuuden yksityisyyspainotteisen kryptografian ytimestä: et voi auditoida sitä, mitä et pysty näkemään.

Kriittinen haavoittuvuus

29. toukokuuta 2026 riippumaton tietoturvatutkija Taylor Hornby löysi kriittisen niin kutsutun "soundness"-bugin Orchard Action -piiristä auditoinnissa, jonka teetti Shielded Labs. Hornby paikansi virheen käyttäen Anthropicin Claude Opus 4.8 -tekoälyä .

Kyseessä oli nollatietotodisteen (zero-knowledge proof) eheysvirhe, mikä tarkoittaa, että piirin sai huijattua hyväksymään virheellisiä todisteita. Käytännössä hyökkääjä olisi voinut ohittaa elliptisten käyrien tarkistuksen luoden valheellisia nollatietotodisteita, joilla olisi voinut tehdä tuplakulutuksia (double-spend) tai luoda rajattomasti väärennettyjä, täysin havaitsemattomia ZEC-kolikoita Orchard-suojatun altaan sisällä . Koska altaan yksityisyyssuojaukset salaavat saldot ja tapahtumatiedot, hyväksikäyttö ei olisi jättänyt mitään näkyvää jälkeä lohkoketjuun .

Kaikkein huolestuttavinta oli aikajana: bugi oli ollut olemassa siitä lähtien, kun Orchard lanseerattiin toukokuussa 2022, eli täyden neljän vuoden ajan ennen sen löytymistä .

Hätäkorjaus: kaksivaiheinen päivitys

Zcash Open Development Lab (ZODL) ja Zcash Foundation toimivat nopeasti. Koko vasteprosessi, löytymisestä pysyvään korjaukseen, toteutettiin vain viidessä päivässä .

1. Soft fork (2.6.2026): Lohkossa 3 363 426 kaikki Orchard-tapahtumat otettiin väliaikaisesti pois käytöstä mahdollisen hyväksikäytön estämiseksi, kun insinöörit valmistelivat pysyvää korjausta .
2. NU6.2-hard fork (3.6.2026): Korjattu piiri otettiin käyttöön lohkossa 3 364 600, mikä palautti Orchard-tapahtumat käyttöön korjatulla vahvistusavaimella. Tämä poisti pysyvästi väärennösriskin Orchardin sisällä .

Zcash Foundation vahvisti, ettei luvattomia kolikoita luotu ja etteivät vanhemmat Sapling- ja Transparent-altaat olleet milloinkaan vaarantuneet .

Markkinavaikutus: 50 prosentin romahdus

Markkina oli hitaampi ottamaan kiinni kehittäjien osoittamaa kiireellisyyttä. Kun haavoittuvuus julkistettiin 5. kesäkuuta, reaktio oli nopea ja armoton.

Tapahtuma	Päivämäärä	Hinta
Huippu ennen romahdusta	4. kesäkuuta	~624 $
Paniikin pohja	5. kesäkuuta	~309 $
Lasku 48 tunnissa	-	~50 % romahdus

Myyntiaaltoa vauhdittivat useat yhtäaikaiset voimat:

• Paniikkimyynti räjähti käsiin, kun markkina prosessoi tiedon, jonka mukaan 21 miljoonan kolikon katto ei ehkä olekaan kiveen hakattu .
• BitMEX-pörssin perustaja Arthur Hayes ilmoitti julkisesti luopuvansa ZEC-positioistaan, mikä lisäsi merkittävästi paineita jo valmiiksi karhumaiseen tunnelmaan .
• Verilöyly pyyhki Zcashin markkina-arvosta yli 3 miljardia dollaria 48 tunnin aikana .

Nousu yli 530 dollariin: 13 miljoonan dollarin short squeeze

Vain kymmenen päivää myöhemmin tarina oli kääntynyt täysin päälaelleen. Kesäkuun 15.–16. päivään 2026 mennessä ZEC oli palautunut 530–540 dollariin, mikä on yli 70 prosentin nousu 309 dollarin pohjilta .

Kolme katalyyttiä yhdisti voimansa sytyttääkseen rallin:

• Puhdas paperi turvatarkastuksesta: Tekoälyavusteinen seuranta-auditointi ei löytänyt enempää kriittisiä bugeja protokollasta, mikä palautti dramaattisesti luottamusta sen turvallisuuteen .
• Massiivinen short squeeze: 50 prosentin romahdus oli houkutellut lauman karhumaisia treidaajia. Kun kurssi alkoi kääntyä, se laukaisi pakon ostaa lainatut positiot takaisin. Alle kymmenessä tunnissa ZEC rynnisti noin 426 dollarista kohti 500 dollaria likvidoiden yli 13 miljoonan dollarin short-positiot ja pakottaen yli miljardi dollaria takaisin markkina-arvoon .
• Makrotalouden myötätuuli: Laajempi riskinottohalu globaaleilla markkinoilla, mukaan lukien positiiviset otsikot Yhdysvaltain ja Iranin rauhansopimuksesta, vahvisti Zcashin nousuvauhtia .

Huipussaan ZEC oli noussut 25,3 prosenttia 24 tunnissa, ja sillä käytiin kauppaa 530,91 dollarilla .

Ratkaisematon huoli: tarjonta, jota ei voida todistaa

Bugi on poissa, mutta kaikkein hämmentävin kysymys vaanii yhä vastausta: Hyväksikäyttikö kukaan virhettä niiden neljän vuoden aikana?

Zcashin yksityisyysarkkitehtuuri, juuri se ominaisuus joka suojelee käyttäjiä, toimii nyt pysyvänä esteenä täydelliselle auditoinnille. Shielded Labs myönsi suorasukaisesti: "Orchardin yksityisyysominaisuuksien ja bugin luonteen vuoksi ei ole olemassa lopullista kryptografista todistetta siitä, ettei haavoittuvuutta hyväksikäytetty sinä neljän vuoden ajanjaksona, kun se oli olemassa" . Sama suojaus, joka tekee tapahtumista jäljittämättömiä rehellisille käyttäjille, tekee hyökkääjän väärennösluomisesta yhtä lailla jäljittämätöntä.

Vaikka Zcash Foundation totesi, ettei sen avoimen altaan ns. "turnstile-kirjanpito" (porttilaskenta) osoittanut poikkeamaa, tämä ei ole lopullinen todiste suojatun puolen tapahtumakirjasta . Se on heuristinen arvio, ei tae. Tämä on jättänyt yhteisön kryptografisen epävarmuuden tilaan: kehittäjät korjasivat oven, mutta he eivät pysty todistamaan, ettei kukaan kävellyt siitä sisään sen ollessa auki .

Tämä "todisteiden vaje" on nyt keskeinen huomionkohde protokollan tulevaisuudelle. Kehittäjät ja ryhmät kuten Shielded Labs keskustelevat aktiivisesti uuden suojatun altaan käyttöönotosta, jossa olisi paremmat tarjonnantodentamismekanismit. Tavoitteena on, että kuka tahansa voisi itsenäisesti todentaa ZEC-kolikoiden kokonaismäärän – ominaisuus, jota nykyinen Orchard-rakenne ei tue .

Orchard-bugi oli korkean panoksen testi Zcashin turvallisuusreagoinnille, ja tiimi läpäisi sen. Kuitenkin pysyvä sumu verkon tuoreen tarjontahistorian yllä on muistutus siitä, että absoluuttinen yksityisyys ja absoluuttinen auditoritavuus ovat tällä hetkellä perustavanlaatuisessa ristiriidassa. Ennen kuin uusi rakenne sulkee tämän aukon, Zcashissa käydään kauppaa riskipreemiolla, joka heijastaa tätä viipyilevää epävarmuutta.