Pada 29 Mei, kerangka kerja tersebut menemukan inkonsistensi logis yang terlewat oleh para auditor manusia—melalui berbagai audit formal sejak aktivasi Orchard pada Mei 2022 . Hornby tidak hanya mendokumentasikan kelemahan teoretis; ia menggunakan pendekatan berbantuan AI tersebut untuk menulis eksploit fungsional yang berhasil mencetak ZEC palsu di lingkungan pengujian lokal
. Kecepatan penemuan ini—dalam satu hari setelah model dirilis ke publik—menunjukkan lompatan besar dalam apa yang bisa dicapai oleh riset keamanan yang didukung AI
.
Penting untuk digarisbawahi bahwa terobosan ini adalah kolaborasi antara pakar manusia yang terampil dan model frontier. AI menyediakan penalaran sistematis dan pengenalan pola di basis kode yang sangat besar; peneliti manusianya yang merumuskan masalah, membangun alat audit, dan memvalidasi temuan .
Kerentanan ini adalah bug keandalan (soundness bug) kritis di sirkuit kolam terlindungi Orchard, mekanisme privasi utama untuk transaksi anonim Zcash . Dalam sistem zero-knowledge proof, "keandalan" berarti mustahil secara komputasi untuk menciptakan bukti valid bagi pernyataan palsu. Sirkuit Orchard mengandung elemen yang kurang terkendala (under-constrained) yang melanggar properti ini.
Secara spesifik, sebuah nilai jauh di dalam Halo2 gadgets crate dibiarkan tidak terikat ke titik basis nyata (real base point), sehingga secara efektif membiarkan input yang tidak valid secara matematis lolos dari pemeriksaan elliptic-curve . Sederhananya, sebuah pemeriksaan yang seharusnya memvalidasi input transaksi ternyata tidak memberlakukan aturan yang tampaknya ia berlakukan
. Hasilnya: penyerang bisa memalsukan zero-knowledge proof yang valid, yang mengizinkan penciptaan koin ZEC palsu tanpa batas di dalam kolam terlindungi.
Karena transaksi Orchard bersifat pribadi, koin palsu ini akan tidak bisa dibedakan dari koin asli di blockchain . Tidak akan ada cara untuk mengaudit blockchain dan melihat suplai palsu tersebut. Bug ini sudah aktif sejak pengenalan Orchard pada Mei 2022, artinya ia bertahan tanpa terdeteksi selama sekitar empat tahun
.
Yang paling krusial, karena sifat privasi Orchard dan jenis celahnya, Shielded Labs menyatakan bahwa tidak ada metode kriptografis untuk menentukan apakah kerentanan ini pernah dieksploitasi sebelumnya . Ketidakpastian ini menjadi sumber utama kecemasan pasca-pengungkapan.
Begitu Hornby melaporkan bug tersebut ke Zcash Open Development Lab, respons berjalan sangat cepat :
Wilcox mengonfirmasi bahwa patch berhasil diterapkan sebelum pengumuman publik, artinya tidak ada dana yang diketahui hilang akibat eksploitasi setelah pengungkapan . Pendekatan terkoordinasi "perbaiki dulu, ungkap kemudian" ini mengikuti praktik standar manajemen kerentanan, tetapi kecepatan yang dibutuhkan—dari penemuan hingga hard fork di seluruh jaringan dalam tiga hari—sungguh luar biasa.
Setelah perbaikan darurat, Shielded Labs meminta Anthropic menjalankan audit protokol penuh terpisah menggunakan model frontier terbatas mereka, Mythos. Audit tersebut mengonfirmasi tidak ada kerentanan kritis tambahan dalam protokol per 12 Juni 2026 . Tinjauan komprehensif ini membantu memulihkan sebagian kepercayaan, meskipun ketidakpastian inti tentang eksploitasi pra-patch tetap ada.
Pasar bereaksi keras terhadap pengungkapan publik pada 4 Juni. Harga ZEC turun sekitar 40–50% dalam beberapa hari berikutnya, dengan laporan yang menggambarkan koin ini jatuh dari "level jauh lebih tinggi hanya beberapa minggu sebelumnya" . Berbagai sumber menyebutkan penurunan antara 31% dan 50%, dengan besaran yang paling sering dikutip sekitar 40–50%
.
Aksi jual ini mencerminkan kepanikan di beberapa lini. Pertama, tingkat keparahan bug—pemalsuan tanpa batas dan tak terlacak di koin privasi utama—meruntuhkan kepercayaan fundamental pada jaminan keamanan protokol. Kedua, fakta bahwa model AI menemukan celah yang terlewat oleh audit formal manusia selama bertahun-tahun memunculkan pertanyaan meresahkan tentang permukaan kerentanan mata uang kripto lain, termasuk Ethereum . Ketiga, ketidakpastian permanen tentang apakah bug ini sudah pernah dieksploitasi meninggalkan defisit kepercayaan yang tidak bisa ditutupi hanya dengan perbaikan teknis
.
Para pedagang menilai ulang keamanan salah satu jaringan privasi kripto paling terkemuka, dan penyesuaian harga terjadi dengan cepat dan parah .
Insiden Zcash secara luas dipandang sebagai momen penting bagi potensi penggunaan ganda AI dalam keamanan perangkat lunak kritis .
Nilai pertahanannya jelas. Sebuah model AI, dikombinasikan dengan arahan pakar manusia, menemukan bug katastropik yang terlewat auditor manusia selama empat tahun—dan melakukannya dalam satu hari setelah model tersebut dirilis . Ini menunjukkan bahwa AI frontier dapat secara dramatis meningkatkan kecepatan, kedalaman, dan kelengkapan audit keamanan untuk sistem kriptografi kompleks. Audit lanjutan oleh Mythos yang membersihkan sisa protokol menunjukkan masa depan di mana audit berkelanjutan berbasis AI menjadi praktik standar untuk infrastruktur bernilai tinggi
.
Pendekatan Hornby—membangun kerangka kerja agen kustom alih-alih hanya memberi prompt ke model—juga menunjukkan bahwa aplikasi pertahanan paling kuat berasal dari mengintegrasikan AI ke dalam alur kerja keamanan sistematis, bukan memperlakukannya sebagai oracle mandiri.
Implikasi ofensifnya sama tajamnya. Kemampuan yang sama yang menemukan bug ini dapat dipersenjatai oleh aktor jahat untuk menemukan dan mengeksploitasi kerentanan zero-day dengan kecepatan mesin . Jika kelompok black-hat telah menerapkan teknik serupa ke Zcash sebelum peneliti white-hat melakukannya, mereka bisa saja diam-diam mencetak koin palsu tanpa batas, menguras likuiditas, dan menghilang—semuanya sebelum patch diterapkan.
Bloomberg menggambarkan peristiwa ini sebagai menunjukkan "besarnya ancaman peretasan AI" . Bloomberg dan outlet lainnya mencatat bahwa insiden ini memunculkan pertanyaan mendesak tentang apakah norma pengungkapan yang bertanggung jawab saat ini dikalibrasi untuk kerentanan yang ditemukan dengan kecepatan AI
. Ketika AI dapat menemukan celah kritis dalam hitungan jam, jendela untuk penambalan terkoordinasi sebelum eksploitasi musuh menyempit drastis.
Peneliti keamanan telah memperingatkan bahwa ini bukan kekhawatiran teoretis. Insiden Zcash adalah contoh pertama yang dikonfirmasi secara publik, tetapi hampir pasti bukan yang terakhir .
Mungkin aspek paling meresahkan dari seluruh episode ini adalah ketidakpastian yang tak terpecahkan. Karena Zcash adalah koin privasi, tidak ada cara untuk membuktikan secara kriptografis apakah bug ini telah dieksploitasi selama masa hidupnya yang empat tahun . Tim pengembang menilai eksploitasi itu "tidak mungkin", tetapi mereka mengakui bahwa mereka benar-benar tidak dapat mengonfirmasinya
. Ini menciptakan masalah kepercayaan yang bertahan lama—bukan hanya untuk Zcash, tetapi untuk sistem pelindung privasi mana pun di mana celah bisa saja dieksploitasi secara diam-diam sebelum ditemukan.
Insiden Zcash menandai berakhirnya era di mana keamanan protokol kriptografi bisa hanya mengandalkan audit manusia berkala. Penemuan kerentanan berbantuan AI kini adalah kemampuan yang telah terdemonstrasi, dengan semua kekuatan asimetris yang tersirat.
Bagi pengembang protokol, implikasinya jelas: mengintegrasikan model AI frontier ke dalam saluran tinjauan keamanan berkelanjutan bukan lagi opsional—ini adalah keharusan, karena musuh pasti akan melakukan hal yang sama. Bagi komunitas AI, peristiwa ini memperkuat perlunya penerapan kemampuan yang dapat dengan mudah digunakan kembali untuk serangan dengan bijaksana. Dan bagi ekosistem kripto yang lebih luas, ini menjadi pengingat keras bahwa bahkan sistem yang paling ketat diulas pun bisa menyimpan celah katastropik yang dapat diungkap oleh AI yang terarah dalam hitungan jam.