Le pool Orchard de Zcash a vécu pendant près de quatre ans avec une vulnérabilité critique. Découverte le 29 mai 2026 et corrigée le 2 juin, la faille permettait de créer des ZEC contrefaits de manière totalement indétectable. Le marché a sanctionné la révélation immédiatement, avec un ZEC qui s’effondre d’environ 40 % en 24 heures et un Arthur Hayes qui solde toute sa position.
Pour résumer
- Une faille critique dans le pool Orchard de Zcash existait depuis mai 2022 sans être détectée
- Le ZEC chute d’environ 40 % en 24 heures après la révélation publique
- Arthur Hayes liquide l’intégralité de sa position et invoque l’impossibilité de prouver l’intégrité de l’offre
Une vulnérabilité indétectable cachée quatre ans dans le pool Orchard
Le bug a été découvert le 29 mai 2026 par Taylor Hornby, ingénieur chez Shielded Labs, avec l’aide de Claude Opus 4.8 d’Anthropic. La vulnérabilité existait dans le code du pool Orchard depuis mai 2022, soit près de quatre années d’exposition silencieuse.
Le pool Orchard est la zone de confidentialité la plus avancée du protocole Zcash. C’est là que se concentrent les transactions privées et l’essentiel du narratif privacy first de la blockchain. Une faille à cet endroit précis touche le cœur du système, pas une couche périphérique.
Selon Shielded Labs, le défaut pouvait être exploité pour créer une quantité illimitée de ZEC contrefaits de manière indétectable. Aucune trace, aucun signal, aucune alerte on-chain. Un attaquant aurait pu gonfler l’offre du ZEC sans que personne ne s’en aperçoive, ni les nœuds, ni les développeurs, ni les holders.
Le correctif a été déployé le 2 juin 2026, quatre jours après la découverte. Aucun signe d’exploitation n’a été identifié par Shielded Labs, qui se dit pas trop inquiète malgré l’ampleur du trou de sécurité. La position est singulière. Un bug capable de fabriquer du ZEC à volonté qui aurait survécu à plusieurs audits successifs et qui passe inaperçu pendant quatre ans interroge directement la rigueur des revues de code menées sur le protocole.
Le marché casse net et Arthur Hayes vide la sienne
Avant la révélation, le ZEC traversait une séquence exceptionnelle. Le token avait grimpé de plus de 1 000 % depuis octobre, porté par un regain d’intérêt institutionnel pour les actifs orientés confidentialité. Le cours était valorisé à 315,78 $ au moment de l’annonce, après un rallye qui en avait fait l’un des altcoins les plus performants des derniers mois.
La chute s’est faite en quelques heures. Le ZEC a perdu environ 40 % de sa valeur dans une fenêtre de 24 heures, effaçant une part significative du rallye accumulé depuis l’automne précédent. Le marché n’a pas attendu une analyse technique poussée, la simple existence du doute a suffi à déclencher la liquidation.
Arthur Hayes, cofondateur de BitMEX, a vendu l’intégralité de sa position. Sa justification est cinglante. Selon ses propres mots, il est impossible de démontrer formellement qu’aucune création frauduleuse de tokens n’a eu lieu, et le narratif de la confidentialité exige la perfection, pas la simple improbabilité.
La sortie de Hayes amplifie mécaniquement la chute. Quand un soutien historique connu pour ses prises de position publiques quitte le navire en pleine tempête, les holders restants disposent de peu d’arguments pour résister à la pression vendeuse. La cascade de stop-loss s’enclenche, les bots de marché suivent, et le ZEC accélère vers le bas.
À voir également sur Cryptonomic :
- Bitcoin crash sous 62 000 $ : 1,5 milliard liquidé en 24h
- HYPE Hyperliquid : 673 millions déverrouillés le 6 juin
- L’AMF donne jusqu’au 30 juin pour obtenir la licence MiCA
Le narratif privacy face à l’impossibilité de la preuve
Le problème dépasse largement le ZEC. Les blockchains orientées confidentialité reposent sur un pari simple : convaincre les utilisateurs et le marché que l’offre est rigoureusement contrôlée alors même qu’elle reste invisible. Si l’offre n’est pas auditable publiquement, tout repose sur la confiance dans le code.
Cette confiance a été brisée. Quatre ans d’exposition à une faille capable de générer des tokens fantômes sans laisser de trace remettent en cause la possibilité même de prouver l’intégrité de l’offre du ZEC. Aucun audit rétroactif ne pourra démontrer avec certitude qu’aucun token contrefait n’a été créé entre 2022 et 2026, et c’est exactement ce que Hayes pointe dans sa déclaration.
Le problème devient existentiel pour les autres protocoles privacy. Monero, les zk-rollups orientés confidentialité et les futurs projets vont devoir expliquer pourquoi leur architecture ne souffre pas de la même fragilité. Les régulateurs européens et américains, déjà hostiles aux privacy coins, disposent désormais d’un argument supplémentaire pour resserrer la pression sur cette catégorie d’actifs.
La réaction publique de Shielded Labs reste à digérer. Annoncer la découverte de la faille tout en se déclarant pas trop inquiète entretient un décalage net entre la gravité technique et le ton institutionnel. Les holders qui découvrent l’épisode aujourd’hui ont une raison supplémentaire de se demander combien de temps s’écoulera avant qu’une faille équivalente ne soit identifiée ailleurs, dans un autre protocole, sur un autre pool.
Affaire à suivre sur Cryptonomic.
