Shielded Labs, en collaboration avec la Fondation Zcash et d’autres acteurs de l’écosystème, a soumis la proposition de mise à jour d’Ironwood visant à restaurer la capacité des utilisateurs à vérifier de manière indépendante l’intégrité de l’approvisionnement de ZEC suite à la découverte d’une vulnérabilité critique dans le pool Orchard.
La faille, active depuis l’implémentation d’Orchard en mai 2022, permettait la création d’un nombre illimité de fausses ZEC sans laisser de trace. Ce n’est qu’en mai 2026 que cela a été détecté bogueutilisant les outils d’intelligence artificielle (IA) du chercheur Taylor Hornby et forcé une mise à jour d’urgence le 2 juin. Bien que l’équipe considère qu’il est peu probable que cette vulnérabilité ait été exploitée par un pirate informatique, les propriétés de confidentialité du pool empêchent sa vérification externe.
Ironwood cherche à remédier à ce manque de vérifiabilité. La proposition envisage la création d’un nouveau pool avec le bug corrigé, l’interdiction de générer de nouvelles sorties dans l’ancien pool et l’utilisation de “tourniquets”, un mécanisme d’audit et de défense qui contrôle et compte les crypto-monnaies qui entrent et sortent des différents groupes d’adresses privées, appelés pools protégés. De cette façon, tout utilisateur exécutant un nœud pourra vérifier l’offre totale il suffit d’ajouter les soldes des pools actifs, sans avoir besoin d’attendre des migrations massives ou de s’appuyer sur des évaluations tierces.
Les données en chaîne analysées par CipherScan révèlent qu’après l’incident, environ 380 000 ZEC ont quitté le pool Orchard. Sur ce montant, seules 47 000 ZEC (0,28 % de l’offre totale) ont atteint les bourses, ce qui représente une pression de vente limitée. Parallèlement, près de 118 000 ZEC ont été protégées sur la même période, ce qui suggère qu’une partie importante des détenteurs n’a pas paniqué.
Cependant, l’épisode relance des questions structurelles sur Zcash. La forte concentration minière (trois pools contrôlent 79% du hashrate) a permis de coordonner rapidement la pause du pool Orchard, mais révèle également qu’une gouvernance efficace dépend d’un petit nombre d’acteurs. En ce sens, CriptoNoticias a rapporté que le développeur Bitcoin Peter Todd a critiqué à plusieurs reprises la décision d’intégrer la cryptographie zk-SNARKs directement dans le consensus, une surface d’attaque que Bitcoin évite délibérément en conservant une conception plus simple.
Le fait qu’une vulnérabilité d’une telle ampleur soit restée indétectée pendant quatre ans, malgré de multiples audits, reste le principal point de scepticisme. Bien que Ironwood représente un patch technique nécessaire pour récupérer la vérifiabilité de l’offre, ne résout pas les doutes sous-jacents quant à savoir si un protocole qui dépend d’une cryptographie complexe et nécessite de fréquentes mises à jour d’urgence peut offrir la robustesse et la confiance qu’il promet à long terme.
