Zcash patcht kritieke Orchard-bug, maar supply-vraag blijft hangen

Zcash heeft een kritieke kwetsbaarheid in zijn Orchard shielded pool gepatcht, maar het lastigste deel begint nu pas. De Zcash Foundation zegt dat er geen bewijs is voor exploitatie of ongeautoriseerde waardecreatie, terwijl Shielded Labs werkt aan een vervolgstap om de integriteit van de ZEC-supply sterker te bewijzen.

Dat is geen klein detail. Bij Zcash is privacy juist de kern.

De kwetsbaarheid werd op 29 mei ontdekt door securityonderzoeker Taylor Hornby tijdens een protocolaudit voor Shielded Labs. Daarna volgde een gecoördineerde noodactie met de Zcash Open Development Lab en de Zcash Foundation. Orchard werd tijdelijk uitgeschakeld via een softfork op 2 juni en weer geactiveerd via de NU6.2-hardfork op 3 juni.

Orchard is de nieuwste shielded pool van Zcash. Dat is de privacylaag waar transacties met zero-knowledge proofs worden afgeschermd. Zcash verkoopt zichzelf juist op die eigenschap: private transacties, zonder dat iedereen de volledige financiële route kan meelezen.

Daarom raakt deze bug dieper dan een gewone softwarefout.

Crypto Briefing beschrijft de kwetsbaarheid als een soundness bug in het Orchard zero-knowledge proof circuit. Soundness betekent simpel gezegd dat het systeem alleen geldige transacties en geldige state changes mag accepteren. Als die eigenschap breekt, kan een foutieve transactie door de controle komen.

Dat is ernstig. Heel ernstig.

De Zcash Foundation stelt wel dat het turnstile-mechanisme geen ongeautoriseerde waardecreatie heeft gedetecteerd en dat Sapling en transparante transacties tijdens het incident bleven werken. Orchard-transacties lagen tijdelijk stil.

De officiële lijn is geruststellend, maar niet volledig sluitend. De Zcash Foundation zegt dat er geen bewijs is dat de bug is misbruikt, geen ongeautoriseerde waardecreatie is vastgesteld en dat gebruikersprivacy niet is geraakt.

Dat helpt. Maar het lost de kernvraag niet helemaal op.

Bij een transparante keten kun je veel directe sporen zien. Bij een shielded pool is dat lastiger. Privacy maakt gebruikers sterker, maar maakt forensisch bewijs soms zwakker. Dat is de ruil.

Shielded Labs wil daarom een extra stap. The Defiant meldt dat de organisatie een nieuwe Zcash-upgrade voorstelt om de supply beter te bewijzen na de Orchard-bug. De bedoeling is om het vertrouwen in de totale ZEC-voorraad te herstellen met aanvullende accounting- en upgradepaden. (thedefiant.io)

Daar zit het echte vervolgverhaal. Niet alleen patchen. Bewijzen.

ZEC kreeg direct zware druk. De munt noteert op het moment van schrijven rond $312,27, met een intraday high van $550,46 en een low van $261,69. Dat is een scherpe klap in een asset die juist draait op cryptografisch vertrouwen.

Die reactie is logisch.

Privacycoins vragen beleggers om vertrouwen in complexe cryptografie. Als daar een kritieke circuitbug opduikt, raakt dat niet alleen één codepad. Het raakt het narratief. Zeker als de vraag blijft hangen of de shielded supply volledig en overtuigend te controleren is.

Dat betekent niet dat Zcash kapot is. Het betekent dat de markt een hogere bewijsdrempel eist.

De patch is nodig. De proof-of-supply-discussie wordt nu bepalend.

De technische reactie was snel. Volgens Crypto Briefing duurde het ongeveer vijf dagen vanaf private disclosure tot volledige activatie van de fix. Eerst kwam de tijdelijke softfork die Orchard-acties uitschakelde. Daarna volgde de NU6.2-hardfork die Orchard met een gecorrigeerd circuit weer activeerde.

Dat is sterk crisiswerk.

Maar het laat ook zien hoe dun de marge kan zijn bij geavanceerde privacycryptografie. Eén soundness-fout kan leiden tot een noodactie waarbij miners, nodeoperators, developers en exchanges snel moeten meebewegen. Blockspace meldde dat private coördinatie met miners en exchanges al op 31 mei begon en dat de NU6.2-upgrade Orchard op blockhoogte 3.364.600 heractiveerde.

Dat is geen routineonderhoud. Dat is protocolbrandbestrijding.

De rol van Taylor Hornby en AI-tools maakt het incident extra modern. The Defiant meldt dat Hornby volgens Shielded Labs Anthropic’s nieuwste model gebruikte in het onderzoek naar de flaw. Dat plaatst de bug in een bredere trend: AI wordt niet alleen gebruikt door aanvallers, maar ook door auditors die complexe cryptografie sneller willen doorlichten. (thedefiant.io)

Dat is goed nieuws en slecht nieuws tegelijk.

Goed nieuws, omdat kwetsbaarheden sneller gevonden kunnen worden. Slecht nieuws, omdat dezelfde tooling de lat voor aanvallers ook verlaagt. Privacyprotocollen kunnen zich dus niet meer alleen beroepen op jarenlange peer review. Ze moeten rekening houden met een nieuwe audit- en aanvalssnelheid.

Zcash is hier waarschijnlijk niet uniek. Het is alleen nu het zichtbare voorbeeld.

Zcash zit met een fundamentele spanning. Het netwerk wil sterke privacy bieden. Tegelijk willen gebruikers, exchanges en beleggers weten dat de totale supply klopt.

Die twee eisen botsen niet altijd. Maar bij een bug als deze komen ze wel hard tegen elkaar aan.

Een privacyprotocol kan niet volstaan met “vertrouw ons”. Zeker niet na een kritieke soundness bug. De markt wil controleerbaarheid. De community wil behoud van privacy. Developers moeten nu laten zien dat beide tegelijk kunnen.

Daarom is het voorstel van Shielded Labs belangrijker dan een normale roadmapupdate. Als een nieuwe shielded pool of aanvullende accountinglaag de supply overtuigender kan bewijzen, kan Zcash vertrouwen terugwinnen. Als dat proces traag of onduidelijk wordt, blijft de bug boven de markt hangen.

Voor gebruikers is de praktische boodschap beperkt. De bug is gepatcht, Orchard is hersteld en de Zcash Foundation zegt dat er geen bewijs is voor misbruik. Dat is de officiële technische status.

Voor de markt is dat niet genoeg.

ZEC daalt omdat beleggers niet alleen naar code kijken, maar naar vertrouwen in de voorraad. Privacy maakt Zcash uniek. Diezelfde privacy maakt het moeilijker om na een incident iedereen direct te overtuigen dat er niets is misgegaan.

Daarom verschuift de aandacht nu naar de vervolgstap van Shielded Labs.

Zcash heeft Orchard gerepareerd. Nu moet het bewijzen dat de schaduw geen extra munten verbergt.