Zcash crasht na ontdekking van ernstige bug: kon iemand ongemerkt miljoenen ZEC maken?
Zcash bug zorgt voor onrust op de markt
De koers van Zcash (ZEC) is hard onderuit gegaan nadat ontwikkelaars meer details bekendmaakten over een ernstige beveiligingsfout in het netwerk. Hoewel het probleem inmiddels is opgelost, vrezen beleggers dat de kwetsbaarheid mogelijk jarenlang aanwezig was zonder dat iemand het doorhad.
Binnen 24 uur verloor ZEC meer dan 30% van zijn waarde. Daarmee verdween ruim $3 miljard aan marktwaarde. De scherpe daling laat zien hoe gevoelig cryptomarkten blijven voor twijfels over de veiligheid van een blockchain.
Wat was de Zcash bug?
De kwetsbaarheid bevond zich in de Orchard Pool, een onderdeel van Zcash dat privétransacties mogelijk maakt. Zcash staat bekend als een privacycoin. Dat betekent dat gebruikers transacties kunnen uitvoeren zonder dat bedragen en wallet-adressen openbaar zichtbaar zijn.
Beveiligingsonderzoeker Taylor Hornby ontdekte de fout op 29 mei tijdens een technische controle van het netwerk. Daarbij maakte hij gebruik van Claude Opus 4.8, een geavanceerd AI-model van Anthropic.
Volgens de onderzoekers kon de fout ervoor zorgen dat de cryptografische controles van Zcash werden omzeild. In theorie zou een aanvaller daardoor onbeperkt nieuwe ZEC-tokens kunnen creëren zonder dat het netwerk deze direct als vals herkende.
Hornby bouwde een werkende testomgeving waarin hij aantoonde dat de kwetsbaarheid daadwerkelijk bestond.
Is de bug ooit misbruikt?
Dat is precies de vraag waar de markt momenteel geen antwoord op heeft.
De fout zat mogelijk al sinds mei 2022 in het protocol. Omdat Orchard is ontworpen om maximale privacy te bieden, kunnen ontwikkelaars niet met volledige zekerheid vaststellen of iemand de kwetsbaarheid eerder heeft gebruikt.
Dat betekent overigens niet dat er aanwijzingen zijn voor misbruik. Op dit moment hebben onderzoekers geen bewijs gevonden dat er daadwerkelijk extra ZEC-tokens zijn aangemaakt.
Shielded Labs, de organisatie die betrokken was bij het onderzoek, denkt dat de kans op misbruik beperkt is. De fout bleef jarenlang verborgen voor ervaren cryptografen en kwam pas aan het licht na een zeer gerichte analyse met moderne AI-tools.
Ontwikkelaars grepen direct in
Nadat Hornby de kwetsbaarheid had gemeld, kwam het Zcash Open Development Lab direct in actie. Op 3 juni activeerden ontwikkelaars een hard fork om het probleem te verhelpen.
Een hard fork is een grote software-update waarbij het netwerk nieuwe regels invoert. In dit geval zorgde de update ervoor dat de kwetsbaarheid niet langer kon worden misbruikt.
Daarnaast werken ontwikkelaars aan een nieuwe upgrade waarmee gebruikers in de toekomst beter kunnen controleren of de totale hoeveelheid ZEC in omloop klopt.
Arthur Hayes verkoopt zijn volledige positie
De bekendmaking had ook gevolgen buiten de Zcash-gemeenschap.
Arthur Hayes, medeoprichter van BitMEX en een bekende investeerder binnen de cryptosector, maakte bekend dat hij zijn volledige positie in ZEC heeft verkocht.
Volgens Hayes acht hij de kans klein dat iemand de bug daadwerkelijk heeft misbruikt. Toch vindt hij het gebrek aan absolute zekerheid reden genoeg om uit te stappen.
Daarmee verdwijnt Zcash uit zijn eerder genoemde “Holy Trinity” van favoriete altcoins, samen met Hyperliquid (HYPE) en Near Protocol (NEAR), die hij deze week eveneens verkocht.
Privacycoins blijven technisch uitdagend
Volgens Mert Mumtaz, CEO van blockchainbedrijf Helius, komt dit soort risico’s vaker voor bij privacyprotocollen.
Veel privacycoins maken gebruik van zogenaamde zero-knowledge proofs. Deze technologie maakt het mogelijk om transacties te controleren zonder gevoelige informatie openbaar te maken. Het voordeel is meer privacy, maar de onderliggende cryptografie is extreem complex.
Daardoor kunnen kleine programmeerfouten soms grote gevolgen hebben. Tegelijkertijd zijn dergelijke fouten vaak zeer moeilijk te vinden en nog lastiger om daadwerkelijk uit te buiten.
Niet de eerste keer voor Zcash
Voor Zcash is dit niet de eerste keer dat een mogelijke inflatiefout wordt ontdekt.
In 2018 vonden ontwikkelaars al een vergelijkbare kwetsbaarheid in de cryptografische technologie achter het netwerk. Ook toen konden aanvallers in theorie extra ZEC creëren. De fout werd destijds opgelost voordat er schade ontstond.
De recente ontdekking laat opnieuw zien hoe lastig het blijft om complexe privacytechnologie volledig waterdicht te maken.
Conclusie
De Zcash bug is inmiddels verholpen, maar de impact op het vertrouwen van beleggers blijft voorlopig zichtbaar. Het grootste probleem is niet zozeer de fout zelf, maar de onzekerheid die erdoor ontstaat. Omdat niemand met volledige zekerheid kan aantonen dat de kwetsbaarheid nooit is misbruikt, blijft de markt voorzichtig.
Voorlopig zijn er geen aanwijzingen dat er daadwerkelijk valse ZEC-tokens in omloop zijn gekomen. Toch laat deze gebeurtenis zien dat zelfs gevestigde cryptoprojecten kwetsbaar blijven voor onverwachte technische problemen.
FAQ
Waarom daalde de koers van Zcash zo hard?
Beleggers reageerden op de bekendmaking van een ernstige kwetsbaarheid die in theorie onbeperkt nieuwe ZEC-tokens kon creëren. Hoewel de bug is opgelost, zorgde de onzekerheid voor verkoopdruk.
Wat is een privacycoin?
Een privacycoin is een cryptomunt die transacties afschermt van het publiek. Daardoor blijven gegevens zoals bedragen en wallet-adressen verborgen.
Is het probleem inmiddels opgelost?
Ja. Ontwikkelaars hebben op 3 juni een hard fork uitgevoerd waarmee de kwetsbaarheid uit het netwerk is verwijderd.
