In mei 2026 ontdekte onderzoeker Taylor Hornby met Claude Opus 4.8 een kritieke fout in Zcash uit 2022, die het onbeperkt en ondetecteerbaar namaken van munten mogelijk maakte. De bug zat in het zero knowledge bewijscircuit van Zcash's Orchard shielded pool.

Create a landscape editorial hero image for this Studio Global article: What role did Anthropic's AI models play in the discovery of a critical Zcash protocol vulnerability, what was the technical nature of the b. Article summary: Here is a comprehensive breakdown of the incident.. Topic tags: general, general web, user generated, news. Reference image context from search candidates: Reference image 1: visual subject "Multiple outlets, including The Block and Gizmodo, report that independent security researcher Taylor Hornby discovered a critical soundness bug in Zcash's Orchard shielded-pool ci" source context "Claude AI Exposes Critical Zcash Vulnerability | Let's Data Science" Reference image 2: visual subject "# A Controversial Altcoin Had Its Code Analyzed Using Anthropic’s State-of-the-Art AI Model – Founder Issues Statement. The founder of an altcoin that recently became the subje
Op 28 mei 2026 bracht Anthropic zijn Claude Opus 4.8-model uit voor het publiek. Binnen 24 uur gebruikte de onafhankelijke beveiligingsonderzoeker Taylor Hornby - ingehuurd door Shielded Labs om het Zcash-protocol te auditen - dat model om een kritieke kwetsbaarheid te vinden die vier jaar lang onder de radar was gebleven . De onthulling leidde tot een spoedpatch, een publieke bekendmaking en een koersdaling die ongeveer 40 tot 50% van de waarde van ZEC wegvaagde
. Het is de eerste publiekelijk bevestigde casus waarin een geavanceerd taalmodel een kritieke cryptografische fout vond in een productieomgeving voor zero-knowledge protocollen
.
Hornby vroeg niet simpelweg aan Claude Opus 4.8 om "bugs te vinden". Hij bouwde een eigen raamwerk, de zogeheten "Zcash Full-Stack Auditor", die het redeneervermogen van het model gebruikte om systematisch de logica van Zcash's Orchard shielded-pool circuit te ontleden . Hiermee kon hij de AI gericht analyseren op het complexe Halo2-gebaseerde zero-knowledge bewijssysteem dat de privétransacties van Zcash mogelijk maakt.
Op 29 mei kwam de tooling met een logische tegenstrijdigheid naar boven die menselijke auditors - bij meerdere formele audits sinds de lancering van Orchard in mei 2022 - over het hoofd hadden gezien . Hornby documenteerde niet alleen een theoretische zwakte; hij gebruikte de AI-ondersteunde aanpak om een werkende exploit te schrijven die met succes valse ZEC-munten aanmaakte in een lokale testomgeving
. De snelheid van de vondst – binnen een dag na de lancering van het model – onderstreepte een enorme versnelling in wat AI-gedreven beveiligingsonderzoek voor elkaar kan krijgen
.
Het is cruciaal om te benadrukken dat dit een samenwerking was tussen een ervaren menselijke expert en een geavanceerd model. De AI verzorgde de systematische redenering en patroonherkenning, de menselijke onderzoeker bakende het probleem af, bouwde de audittool en valideerde de bevindingen .
De bug was een kritisch deugdelijkheidsprobleem in het Orchard shielded-pool circuit, het primaire mechanisme voor de anonieme transacties van Zcash . In een zero-knowledge systeem betekent "deugdelijkheid" dat het rekenkundig onmogelijk moet zijn om een geldig bewijs te creëren voor een valse bewering. Het Orchard-circuit bevatte een onvolledig begrensde factor die deze eigenschap tenietdeed.
In de diepte van de Halo2 gadgets was een waarde niet verankerd aan een reëel basispunt, waardoor wiskundig ongeldige invoer een elliptische-krommetest kon omzeilen . Simpel gezegd: een controle die bedoeld was om transactie-invoer te verifiëren, handhaafde de regels niet die hij leek te handhaven
. Een aanvaller kon daardoor geldige zero-knowledge bewijzen vervalsen waarmee een onbeperkte hoeveelheid valse ZEC in de shielded pool kon worden aangemaakt.
Omdat Orchard-transacties van nature privé zijn, zou de vervalste munt op de blockchain niet te onderscheiden zijn van echte munten . Er was geen mogelijkheid om de blockchain te controleren op het nep-aanbod. De bug zat live sinds de introductie van Orchard in mei 2022 en bleef dus bijna vier jaar onopgemerkt
.
Wat de zaak extra ongemakkelijk maakt: vanwege de privacy-eigenschappen van Orchard is er cryptografisch geen enkele manier om vast te stellen of de bug ooit in de praktijk is misbruikt, zo stelde Shielded Labs . Deze onbeantwoordbare vraag werd een centrale bron van onrust na de onthulling.
Nadat Hornby de bug rapporteerde aan het Zcash Open Development Lab, was de reactie razendsnel :
Wilcox bevestigde dat de patch succesvol was uitgerold vóór de openbaarmaking, waardoor er na de onthulling geen bekende fondsen verloren gingen . De aanpak "eerst patchen, dan pas communiceren" volgde de standaard werkwijze, maar de benodigde snelheid – van ontdekking naar een netwerkbrede hard fork in drie dagen – was uitzonderlijk.
Na de noodfix vroeg Shielded Labs aan Anthropic om een aparte, volledige protocolaudit uit te voeren met hun afgeschermde model, Mythos. Die audit bevestigde op 12 juni 2026 dat er geen verdere kritieke kwetsbaarheden in het protocol zaten . Dit volledige onderzoek hielp deels om het vertrouwen te herstellen, al bleef de kernonzekerheid over misbruik vóór de patch bestaan.
De cryptomarkt reageerde snoeihard op de onthulling van 4 juni. De koers van ZEC daalde in de dagen erna met 40 tot 50%, waarbij de token in een duikvlucht terechtkwam vanaf veel hogere niveaus weken eerder . Verschillende bronnen melden dalingen tussen de 31% en 50%, maar de meest genoemde bandbreedte is 40 tot 50%
.
De uitverkoop weerspiegelde paniek op meerdere fronten. De extreme ernst van de bug – oneindig en ondetecteerbaar valsmunten bij een prominente privacy-munt – ondergroef het fundamentele vertrouwen in de beveiliging van het protocol. Het feit dat een AI-model een fout ontdekte die jaren van formele menselijke audits hadden gemist, riep verontrustende vragen op over de kwetsbaarheid van andere cryptovaluta, waaronder Ethereum . De permanente onzekerheid over misbruik in het verleden liet een vertrouwensdeficit achter dat een technische fix alleen niet kon wegpoetsen
.
Handelaren herwaardeerden de veiligheid van een van de meest prominente privacynetwerken in de crypto, en die herwaardering was rap en genadeloos .
Het Zcash-incident geldt breed als een keerpunt voor het dual-use potentieel van AI in de beveiliging van kritieke software .
De defensieve waarde is evident. Een AI-model, gecombineerd met menselijke deskundigheid, vond een rampzalige bug die jarenlang onopgemerkt was gebleven – en deed dat in één dag na de release van het model . Dit toont aan dat geavanceerde AI de snelheid, diepgang en compleetheid van audits voor complexe cryptografische systemen drastisch kan verbeteren. De latere Mythos-audit die de rest van het protocol goedkeurde, suggereert een toekomst waarin permanente AI-controles de standaard worden voor dit soort vitale infrastructuur
.
Hornby's methode – een op maat gemaakte agent bouwen, in plaats van het model losse vragen te stellen – liet ook zien dat de krachtigste defensieve inzet voortkomt uit integratie van AI in systematische beveiligingsworkflows, niet uit het behandelen als een wondermiddel.
De offensieve implicaties zijn ook haarscherp. Dezelfde technologie die deze bug vond, kan door kwaadwillenden worden ingezet om op machinesnelheid zero-day kwetsbaarheden te vinden en te misbruiken . Als een zwarte-hoedgroep dezelfde techniek op Zcash had losgelaten vóór de witte-hoedonderzoeker, had men in stilte een oneindige voorraad nep-ZEC kunnen aanmaken, liquiditeit kunnen leegtrekken en kunnen verdwijnen – ruim voordat er een patch was.
Bloomberg beschreef de gebeurtenis als een toonbeeld van "de omvang van de AI-hackdreiging" . Bloomberg en andere media stipten aan dat het incident indringende vragen oproept over of de huidige normen voor verantwoorde openbaarmaking wel berekend zijn op kwetsbaarheden die op AI-snelheid worden gevonden
. Als een AI binnen uren een kritieke fout blootlegt, stort de tijdspanne voor gecoördineerd patchen vóór vijandig misbruik volledig in.
Beveiligingsonderzoekers waarschuwen dat dit geen theoretische zorg is. Het Zcash-incident is het eerste openbaar bevestigde voorbeeld, maar vrijwel zeker niet het laatste .
Mogelijk het meest verontrustende aan de hele episode is de onoplosbare onzekerheid. Omdat Zcash een privacy-munt is, valt cryptografisch niet te bewijzen of de bug in de vier jaar van zijn bestaan ooit is uitgebuit . Het ontwikkelteam achtte misbruik "onwaarschijnlijk", maar erkende tegelijk dat ze dit letterlijk niet kunnen bevestigen
. Dat creëert een permanent vertrouwensprobleem – niet enkel voor Zcash, maar voor elk privacybeschermend systeem waar een fout stilzwijgend kan zijn misbruikt vóór ontdekking.
Het Zcash-incident markeert het einde van het tijdperk waarin cryptoprotocollen konden vertrouwen op periodieke menselijke audits alleen. AI-geassisteerde detectie van kwetsbaarheden is nu een aangetoonde realiteit, met alle asymmetrische macht die daarbij hoort.
Voor protocolontwikkelaars is de implicatie duidelijk: het opnemen van geavanceerde AI-modellen in continue beveiligingspipelines is niet langer optioneel – het is een keiharde noodzaak, omdat tegenstanders ongetwijfeld hetzelfde zullen doen. Voor de AI-gemeenschap onderstreept de gebeurtenis de noodzaak van doordachte inzet van technologie die eenvoudig voor offensieve doelen is te hergebruiken. En voor het bredere crypto-ecosysteem is het een harde herinnering dat zelfs de strengst beoordeelde systemen fatale fouten kunnen herbergen die een goed gestuurde AI in een paar uur aan het licht kan brengen.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
In mei 2026 ontdekte onderzoeker Taylor Hornby met Claude Opus 4.8 een kritieke fout in Zcash uit 2022, die het onbeperkt en ondetecteerbaar namaken van munten mogelijk maakte.
In mei 2026 ontdekte onderzoeker Taylor Hornby met Claude Opus 4.8 een kritieke fout in Zcash uit 2022, die het onbeperkt en ondetecteerbaar namaken van munten mogelijk maakte. De bug zat in het zero knowledge bewijscircuit van Zcash's Orchard shielded pool.
Het incident is een mijlpaal die de dual use aard van AI in cybersecurity blootlegt: audits gaan sneller, maar dezelfde technologie kan ook worden misbruikt voor destructieve hacks.