Fin mai 2026, le chercheur Taylor Hornby a utilisé Claude Opus 4.8 pour identifier un bug critique dans Zcash, dormant depuis 2022, qui aurait permis de créer des jetons contrefaits à l’infini et de manière indétectable. La faille se situait dans le circuit de preuve à divulgation nulle de connaissance (zero knowled...

Create a landscape editorial hero image for this Studio Global article: What role did Anthropic's AI models play in the discovery of a critical Zcash protocol vulnerability, what was the technical nature of the b. Article summary: Here is a comprehensive breakdown of the incident.. Topic tags: general, general web, user generated, news. Reference image context from search candidates: Reference image 1: visual subject "Multiple outlets, including The Block and Gizmodo, report that independent security researcher Taylor Hornby discovered a critical soundness bug in Zcash's Orchard shielded-pool ci" source context "Claude AI Exposes Critical Zcash Vulnerability | Let's Data Science" Reference image 2: visual subject "# A Controversial Altcoin Had Its Code Analyzed Using Anthropic’s State-of-the-Art AI Model – Founder Issues Statement. The founder of an altcoin that recently became the subje
Le 28 mai 2026, la société d’intelligence artificielle Anthropic rendait public son tout dernier modèle de pointe, Claude Opus 4.8. Moins de 24 heures plus tard, le chercheur indépendant en sécurité Taylor Hornby, mandaté par les laboratoires Shielded Labs pour auditer le protocole Zcash, s’en servait pour exhumer une vulnérabilité critique que des années d’audits humains n’avaient pas su voir . Ce bug, resté caché en pleine lumière depuis mai 2022, allait déclencher un correctif d’urgence, une annonce publique explosive et une dégringolade boursière effaçant près de la moitié de la valeur du ZEC
. C’est le tout premier cas publiquement documenté où un grand modèle de langage de pointe découvre une faille cryptographique majeure dans un protocole « zero-knowledge » en production
.
Taylor Hornby ne s’est pas contenté de demander à Claude Opus 4.8 de « chercher des bugs ». Il a conçu un outil sur mesure, le « Zcash Full-Stack Auditor », qui exploitait la capacité de raisonnement du modèle pour analyser systématiquement la logique des circuits du pool protégé Orchard . Grâce à cette interface, le chercheur pouvait orienter l’IA vers le système complexe de preuve à divulgation nulle Halo2, socle mathématique qui garantit la confidentialité des transactions Zcash.
C’est le 29 mai que l’outil a fait remonter une incohérence logique. Ni les audits formels successifs, ni les relectures humaines menées depuis l’activation d’Orchard en mai 2022, ne l’avaient détectée . Hornby ne s’est pas arrêté au constat théorique : il a exploité l’approche assistée par IA pour rédiger un code d’attaque fonctionnel (un « exploit ») capable de créer de faux jetons ZEC dans un environnement de test local
. La rapidité de la découverte – en une seule journée après la sortie du modèle – a mis en lumière un saut qualitatif dans ce que la recherche en sécurité augmentée par l’IA rend possible
.
Il faut ici insister sur un point capital : cette percée résulte d’une collaboration entre un expert humain chevronné et un modèle de pointe. L’IA a fourni une capacité de raisonnement systématique et de reconnaissance de schémas à travers une base de code gigantesque ; le chercheur humain a posé le problème, construit l’environnement d’audit et validé chaque résultat .
La vulnérabilité touchait au concept même de « solidité » (soundness) du circuit Orchard, le mécanisme de confidentialité principal pour les transactions protégées de Zcash . Dans la cryptographie « zero-knowledge », la solidité garantit qu’il doit être computationnellement impossible de fabriquer une preuve valide pour une affirmation fausse. Le circuit Orchard contenait un élément « sous-contraint » qui brisait cette propriété fondamentale.
Concrètement, une valeur située profondément dans la bibliothèque de gadgets Halo2 n’était pas correctement ancrée à un point de base réel dans un calcul sur courbe elliptique. Autrement dit, une vérification censée valider les entrées de transaction laissait passer des données mathématiquement invalides . Ce défaut de conception aurait permis à un attaquant de forger des preuves « zero-knowledge » parfaitement valides autorisant la création d’une quantité illimitée de faux ZEC au sein même du pool protégé.
Le caractère redoutable du bug tenait à la nature même de Zcash. Comme les transactions Orchard sont privées par construction, les pièces contrefaites auraient été structurellement impossibles à distinguer des pièces légitimes sur la chaîne . Aucun audit de la blockchain n’aurait pu révéler l’inflation frauduleuse. Le défaut avait survécu environ quatre ans sans être repéré, depuis l’introduction d’Orchard en mai 2022
.
Pire encore : justement à cause des propriétés de confidentialité d’Orchard et de la nature même de la faille, Shielded Labs a dû reconnaître qu’il n’existe rigoureusement aucune méthode cryptographique pour déterminer si la vulnérabilité a déjà été exploitée dans la nature . Cette incertitude radicale allait devenir la principale source d’angoisse après l’annonce publique.
Dès que Taylor Hornby a signalé le bug au laboratoire de développement ouvert de Zcash, l’escalade a été fulgurante :
Zooko Wilcox a confirmé que le correctif avait été déployé avec succès avant l’annonce publique, ce qui signifie qu’aucun fonds connu n’a pu être perdu à cause d’une exploitation opportuniste postérieure à la divulgation . Cette approche coordonnée « corriger d’abord, divulguer ensuite » relève des bonnes pratiques de la gestion de vulnérabilités, mais le rythme imposé – de la découverte à un hard fork planétaire en trois jours – reste tout à fait exceptionnel.
Après ce sauvetage en urgence, Shielded Labs a demandé à Anthropic de réaliser un audit complet et séparé de l’ensemble du protocole avec son modèle de pointe à accès restreint, Mythos. Cet audit a confirmé qu’au 12 juin 2026, aucune autre vulnérabilité critique ne subsistait dans le protocole . Cette revue intégrale a partiellement restauré la confiance, sans toutefois dissiper l’incertitude fondamentale quant à une exploitation antérieure au correctif.
Les marchés ont réagi avec brutalité à l’annonce publique du 4 juin. Dans les jours qui ont suivi, le cours du ZEC a chuté d’environ 40 à 50 %, plongeant un actif qui s’échangeait « à des niveaux bien plus élevés quelques semaines auparavant » dans une véritable spirale baissière . Plusieurs sources évoquent des plages de baisse allant de 31 % à 50 %, la magnitude la plus couramment citée se situant autour de 40 à 50 %
.
Cette déroute a traduit une panique sur plusieurs fronts. D’abord, la gravité intrinsèque du bug – la possibilité d’une contrefaçon infinie et indétectable sur l’une des principales cryptomonnaies de confidentialité – a ébranlé la confiance fondamentale dans les garanties de sécurité du protocole. Ensuite, le fait qu’un modèle d’IA ait trouvé en un jour une faille ayant échappé à des années d’audits humains a soulevé des questions dérangeantes sur la surface de vulnérabilité d’autres blockchains, Ethereum en tête . Enfin, l’incertitude indépassable sur une potentielle exploitation antérieure a créé un déficit de confiance qu’aucun correctif technique ne pourra jamais entièrement combler
.
Les investisseurs ont brutalement réévalué la sécurité de l’un des réseaux de confidentialité les plus en vue du monde crypto, et la correction des prix a été aussi soudaine que sévère .
L’affaire Zcash est désormais vue comme un moment charnière dans la prise de conscience du potentiel à double usage de l’IA pour la sécurité des logiciels critiques .
L’apport défensif est limpide. Un modèle d’IA, associé à l’expertise humaine, a détecté un bug catastrophique que des années d’audits classiques n’avaient pas repéré – et ce en l’espace de 24 heures à peine après sa sortie . La démonstration est éclatante : une IA de pointe peut radicalement améliorer la vitesse, la profondeur et l’exhaustivité des audits de sécurité pour des systèmes cryptographiques complexes. L’audit complémentaire mené par le modèle Mythos, qui a « blanchi » le reste du protocole, laisse entrevoir un futur où un auditing continu assisté par IA deviendra la norme pour toute infrastructure critique
.
La méthodologie de Hornby, fondée sur la construction d’un outil agentif sur mesure plutôt que sur de simples invites textuelles, a également montré que les applications défensives les plus puissantes naissent de l’intégration de l’IA dans des flux de travail systématiques, et non de son usage en tant qu’oracle isolé.
La face sombre de cette médaille est tout aussi nette. Les mêmes capacités qui ont permis de trouver ce bug peuvent être militarisées par des acteurs malveillants pour découvrir et exploiter des vulnérabilités zero-day, à une vitesse surhumaine . Si un groupe de pirates avait appliqué des méthodes similaires à Zcash avant un chercheur « white hat », il aurait pu frapper de la monnaie en silence, siphonner les liquidités et disparaître – bien avant qu’un correctif ne soit seulement envisagé.
Bloomberg a décrit l’événement comme révélant « l’ampleur de la menace du piratage par IA » . Plusieurs médias ont souligné que l’incident posait des questions brûlantes sur le calibrage des normes de divulgation responsable face à des vulnérabilités découvertes à une vitesse algorithmique
. Quand une IA peut débusquer une faille critique en quelques heures, la fenêtre de tir pour coordonner un correctif avant une exploitation hostile s’effondre radicalement.
Les experts en cybersécurité préviennent qu’il ne s’agit pas d’un scénario hypothétique. L’affaire Zcash est le premier cas confirmé ; tout porte à croire qu’elle ne sera pas le dernier .
L’aspect peut-être le plus troublant de toute cette affaire reste cette incertitude qui ne pourra jamais être levée. Zcash étant une cryptomonnaie de confidentialité, il est cryptographiquement impossible de prouver que le bug n’a jamais été exploité au cours de ses quatre années d’existence . L’équipe de développement a jugé une exploitation « peu probable », tout en reconnaissant qu’elle ne peut tout simplement pas confirmer cette hypothèse
. Ce constat installe un problème de confiance durable, non seulement pour Zcash, mais pour tout système préservant la vie privée dans lequel une faille aurait pu être silencieusement exploitée avant d’être découverte.
L’épisode Zcash marque la fin d’une époque : celle où la sécurité des protocoles cryptographiques pouvait reposer sur des audits humains périodiques. La découverte de vulnérabilités assistée par IA est désormais une capacité avérée, avec toute la puissance asymétrique que cela implique.
Pour les architectes de protocoles, les implications sont sans équivoque : intégrer des modèles d’IA de pointe dans les pipelines de revue de sécurité continue n’est plus une option – c’est un impératif, parce que les adversaires feront très certainement la même chose. Pour la communauté de l’intelligence artificielle, cet événement souligne la nécessité de politiques de déploiement réfléchies pour des capacités si facilement détournables à des fins offensives. Et pour l’écosystème crypto dans son ensemble, il rappelle durement que les systèmes les plus rigoureusement audités peuvent dissimuler des failles cataclysmiques, qu’une IA bien dirigée peut aujourd’hui mettre au jour en quelques heures.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Fin mai 2026, le chercheur Taylor Hornby a utilisé Claude Opus 4.8 pour identifier un bug critique dans Zcash, dormant depuis 2022, qui aurait permis de créer des jetons contrefaits à l’infini et de manière indétectable.
Fin mai 2026, le chercheur Taylor Hornby a utilisé Claude Opus 4.8 pour identifier un bug critique dans Zcash, dormant depuis 2022, qui aurait permis de créer des jetons contrefaits à l’infini et de manière indétectable. La faille se situait dans le circuit de preuve à divulgation nulle de connaissance (zero knowledge) du pool protégé Orchard de Zcash.
L’incident illustre de façon spectaculaire la nature duale de l’IA : un accélérateur d’audit défensif, mais aussi une arme offensive potentielle pour découvrir des failles zero day.