Le bug Orchard qui a secoué Zcash : crash de 50 %, IA et la crise de l'offre à 3 milliards

Le plus troublant reste la chronologie : le bug était présent depuis le lancement d'Orchard en mai 2022, soit une fenêtre de quatre années pleines avant sa découverte .

La correction d'urgence : une mise à jour en deux étapes

Le laboratoire de développement open source de Zcash (ZODL) et la Fondation Zcash ont réagi avec une célérité remarquable. L'ensemble de la réponse, de la découverte à la correction permanente, a été exécuté en seulement cinq jours .

1. Un Soft Fork (2 juin 2026) : Au bloc numéro 3 363 426, toutes les transactions Orchard ont été temporairement désactivées pour prévenir toute exploitation potentielle, le temps pour les ingénieurs de préparer un correctif permanent .
2. Le Hard Fork NU6.2 (3 juin 2026) : Le circuit corrigé a été activé au bloc 3 364 600, réactivant les transactions Orchard avec une clé de vérification corrigée. Cela a définitivement éliminé le risque de contrefaçon au sein d'Orchard .

La Fondation Zcash a confirmé qu'aucune valeur non autorisée n'avait été créée et que les pools Sapling et Transparent n'avaient jamais été affectés .

La déroute des marchés : un krach de 50 %

Les marchés ont mis plus de temps à prendre la mesure de l'urgence. Lorsque la vulnérabilité a été rendue publique le 5 juin, la réaction a été aussi rapide que brutale.

Plusieurs forces ont convergé pour alimenter la chute :

• Des ventes paniques ont éclaté lorsque le marché a digéré la nouvelle que le plafond d'offre de 21 millions de jetons pouvait ne pas être respecté .
• Arthur Hayes, le co-fondateur de BitMEX, a publiquement annoncé avoir vendu sa position en ZEC, ajoutant une pression baissière significative sur un sentiment déjà dégradé .
• L'hécatombe a effacé plus de 3 milliards de dollars de la capitalisation boursière de Zcash en 48 heures .

L'envolée au-dessus des 530 $ : un short squeeze à 13 millions

Dix jours plus tard, le récit s'était complètement inversé. Entre le 15 et le 16 juin 2026, le ZEC avait rebondi entre 530 et 540 dollars, marquant une hausse de plus de 70 % depuis le point bas de 309 dollars .

Trois catalyseurs ont convergé pour alimenter ce rallye :

• Un bilan de santé impeccable : Un nouvel audit de sécurité, réalisé avec l'aide d'une IA, n'a trouvé aucun autre bug critique dans le protocole, restaurant massivement la confiance dans sa sûreté .
• Un short squeeze massif : Le krach de 50 % avait attiré une horde de traders baissiers. Quand le cours a commencé à remonter, une cascade de rachats forcés s'est déclenchée. En moins de 10 heures, le ZEC est passé d'environ 426 $ à près de 500 $, liquidant plus de 13 millions de dollars en positions vendeuses (shorts) et réinjectant plus d'un milliard de dollars dans sa capitalisation .
• Des vents macroéconomiques porteurs : Un appétit pour le risque généralisé sur les marchés mondiaux, porté par des gros titres positifs sur un accord de paix entre les États-Unis et l'Iran, a amplifié l'élan haussier du ZEC .

À son pic, le ZEC affichait une hausse de 25,3 % en 24 heures, s'échangeant à 530,91 $ .

L'inquiétude persistante : l'offre invérifiable

Le bug a disparu, mais la question la plus dérangeante reste sans réponse : Quelqu'un a-t-il exploité la faille durant ces quatre années ?

L'architecture même de Zcash, pensée pour protéger ses utilisateurs, fait désormais office de barrière permanente à un audit complet. Shielded Labs l'a reconnu sans détour : « En raison des propriétés de confidentialité d'Orchard et de la nature du bug, il n'y a pas de preuve cryptographique définitive que la vulnérabilité n'ait pas été exploitée pendant les quatre ans de son existence » . La technologie qui rend les transactions intraçables pour les utilisateurs honnêtes rend aussi la création de fausse monnaie par un attaquant tout aussi intraçable.

Si la Fondation Zcash a souligné que sa « comptabilité de tourniquet » (turnstile accounting) sur le pool transparent ne montrait aucune anomalie, il ne s'agit pas d'une preuve définitive pour le côté protégé du grand livre . C'est un indice, pas une garantie. La communauté reste donc dans un état d'incertitude cryptographique : les développeurs ont réparé la porte, mais ils ne peuvent pas prouver que personne ne l'a franchie pendant qu'elle était déverrouillée .

Ce « fossé de la preuve » est désormais au centre des préoccupations pour l'avenir du protocole. Développeurs et organisations comme Shielded Labs discutent activement du déploiement d'un nouveau pool protégé doté de meilleurs mécanismes de vérification de l'offre. L'objectif est de permettre à quiconque de vérifier de manière indépendante l'offre totale de ZEC – une fonctionnalité que la conception actuelle d'Orchard ne peut tout simplement pas offrir .

Le bug Orchard a été un test à haut risque pour la sécurité de Zcash, et l'équipe l'a réussi haut la main. Cependant, le brouillard permanent qui plane sur l'historique récent de son offre nous rappelle que la confidentialité absolue et l'auditabilité absolue sont, pour l'instant, fondamentalement incompatibles. Jusqu'à ce qu'une nouvelle conception comble ce fossé, le Zcash se négociera avec une prime de risque reflétant cette incertitude persistante.