Altcoins bloeden hevig, maar niemand kan tippen aan de crash van Zcash (ZEC). De privacymunt is met 36 procent ingestort na een verontrustende onthullding. Een beveiligingsonderzoeker vond een lek waarmee in theorie een onbeperkt aantal valse ZEC-munten bijgemaakt kon worden. 

Lek liet valse munten toe

Het nieuws kwam gisteren naar buiten via Shielded Labs, een onafhankelijke organisatie die het Zcash-netwerk ondersteunt. Die huurde in april beveiligingsexpert Taylor Hornby in om de code tegen het licht te houden.

Rond 23:15 uur werd een bericht geplaatst op socialmediaplatform X en sindsdien is de koers van Zcash al met 32 procent gedaald. Sinds gisteren gaat het zelfs over een verlies van dik 42 procent.

Gisteren waren alle munten in omloop nog meer dan 10 miljard dollar waard, maar nu is dat minder dan 6 miljard dollar. Daarmee is Zcash de veertiende grootste munt van de markt.

Hornby stuitte op 29 mei op het probleem in de zogeheten Orchard-pool. Dat is het privacygedeelte van Zcash, waar gebruikers munten kunnen versturen zonder dat iemand de details ziet.

Met hulp van Anthropic’s nieuwe AI-model Opus 4.8 schreef hij zelfs een werkende aanval. “Het lek was echt en uitbuitbaar”, aldus Shielded Labs.

“Taylor schreef, met hulp van Opus 4.8, een complete exploit die, toen hij die testte in een lokale testomgeving, onbeperkte, niet-detecteerbare valse ZEC genereerde.”

Het lek is op 1 juni gedicht, maar zat al in het systeem sinds de Orchard-pool in mei 2022 live ging. Drie jaar lang bleef het dus onopgemerkt.

De oorzaak lag in een onvoldoende afgeschermd onderdeel van de code. Daardoor kon een aanvaller valse gegevens invoeren die het systeem alsnog goedkeurde.

Misbruik lijkt onwaarschijnlijk

Volgens Shielded Labs is lastig te bewijzen of het lek ooit echt is misbruikt. Juist de privacy van Orchard maakt controle ingewikkeld. Toch denkt het team dat er waarschijnlijk niets is bijgemaakt.

Craig Salm, juridisch directeur van vermogensbeheerder Grayscale, deelt die inschatting. Iemand had de code dan grondiger moeten bestuderen dan alle Zcash-ontwikkelaars samen, én de verleiding moeten weerstaan om valse munten te dumpen tijdens de stevige rally. “Lijkt me onwaarschijnlijk”, aldus Salm.

Zcash werkt nu aan een netwerkupdate waarmee iedereen kan controleren dat er geen valse munten in omloop zijn.

Arthur Hayes, medeoprichter van crypto-beurs BitMEX en hoofdbelegger bij Maelstrom, heeft door de lek zijn ijn volledige Zcash-positie op de markt gedumpt.

Hij noemt de kans op misbruik zelf extreem klein. Maar het valt cryptografisch niet hard te bewijzen dat het onmogelijk is, en daar wringt het. De privacybelofte waarop hij ZEC aanhield “vraagt om perfectie, niet om onwaarschijnlijkheid”.

”De Holy Trinity is dood,” schreef hij. Hyperliquid (HYPE) en NEAR Protocol (NEAR) waren de andere twee, maar die verkocht hij gisteren al.