Gdyby nie czujność inżyniera bezpieczeństwa i wsparcie sztucznej inteligencji, sieć Zcash mogłaby zostać potajemnie zalana fałszywymi tokenami. Publiczne ujawnienie krytycznej podatności w puli Orchard wywołało w tym tygodniu błyskawiczną wyprzedaż ZEC – kurs runął o ponad połowę, a kapitalizacja projektu skurczyła się o niemal 3 mld USD. Deweloperzy stanęli przed wyścigiem z czasem.

Tajemnicza luka, która przetrwała cztery lata

Podatność istniała w sieci Zcash od maja 2022 roku. Znajdowała się w sercu łańcucha – w puli Orchard, czyli mechanizmie odpowiadającym za prywatne transakcje oparte na dowodach wiedzy zerowej (zero-knowledge proofs). Błąd umożliwiał manipulację procesem kryptograficznej weryfikacji, co w praktyce oznaczało możliwość tworzenia nieograniczonej liczby podrobionych tokenów ZEC.

Dopiero 29 maja 2026 roku inżynier ds. bezpieczeństwa Taylor Hornby natknął się na defekt podczas ukierunkowanego audytu. W przeanalizowaniu skomplikowanego obwodu kryptograficznego pomógł mu model sztucznej inteligencji Claude Opus 4.8, opublikowany zaledwie dzień wcześniej. Hornby nie tylko zidentyfikował lukę, ale opracował i przetestował działający exploit – narzędzie zdolne wygenerować nieograniczoną liczbę fałszywych tokenów w sieci testowej.

Awaryjna akcja ratunkowa w dwóch aktach

Po zgłoszeniu problemu do Zcash Open Development Lab (ZODL) natychmiast uruchomiono procedurę awaryjną. Jak wyjaśnił Josh Swihart z ZODL, zespół przeprowadził dwuetapową aktualizację. Najpierw wdrożono soft fork, który tymczasowo wyłączył transakcje Orchard – chodziło o ograniczenie ryzyka bez zdradzania pełnego obrazu zagrożenia. Drugim etapem był hard fork o oznaczeniu NU6.2, aktywowany 3 czerwca, który trwale wyeliminował źródło problemu i przywrócił działanie puli.

Shielded Labs, niezależna grupa wspierająca bezpieczeństwo sieci, podkreśliła, że rzeczywiste wykorzystanie luki przed łataniem jest relatywnie mało prawdopodobne – defekt był na tyle subtelny, że przez lata umykał specjalistom od kryptografii. Mimo to, z uwagi na właściwości prywatności puli Orchard, nie istnieje dziś kryptograficzna metoda pozwalająca jednoznacznie potwierdzić, czy ktoś wcześniej nie wygenerował fałszywych coinów.

Rynek w panice – kurs ZEC runął, ale nie na długo

Sama informacja o potencjalnym fałszowaniu tokenów wystarczyła, by wywołać panikę wśród inwestorów. Cena ZEC spadła z okolic 630 USD do minimum w pobliżu 303 USD, co oznaczało spadek o ponad 50% w ciągu kilkudziesięciu godzin. Kapitalizacja projektu stopniała o blisko 3 mld USD.

Wśród tych, którzy zareagowali natychmiastowo, znalazł się współzałożyciel BitMEX Arthur Hayes. Na platformie X napisał: „Niestety, z powodu exploita w Orchard Pool musiałem sprzedać całą naszą pozycję w ZEC”. Hayes dodał, że nielegalną emisję tokenów uważa za mało prawdopodobną, ale przyznał, iż nie można kryptograficznie udowodnić, że do niej nie doszło. Wraz z ZEC pozbył się także pozycji w Hyperliquid i Near Protocol.

Odbicie i lekcja na przyszłość

Gdy emocje opadły, kurs ZEC zaczął odrabiać straty. W ciagu ostatniej doby (stan na 8 czerwca) wzrósł o 13,5%, do 428,67 USD, co oznacza odbicie o 41,5% względem minima z 5 czerwca. Mimo to token pozostaje daleko od poziomów sprzed kryzysu.

Deweloperzy podkreślają, że incydent pozwolił przetestować procedury reagowania i zacieśnić współpracę z kluczowymi podmiotami sieci, takimi jak pule wydobywcze ViaBTC i Foundry. Shielded Labs współpracuje już nad kolejną aktualizacją, która ma umożliwić niezależną weryfikację integralności podaży ZEC.

Przypadek Zcash to kolejne ostrzeżenie dla całego rynku kryptowalut stawiających na zero-knowledge proofs. Jak zauważył Mert Mumtaz z Helius, błędy w obwodach kryptograficznych są trudne do wykrycia, ale gdy już wyjdą na jaw, potrafią zachwiać zaufaniem do całego projektu. Pytanie, czy inwestorzy zdążą odbudować wiarę w Zcash, zanim kolejna luka – jeśli istnieje – zostanie ujawniona.