Четыре года. Именно столько уязвимость в Orchard Pool сети Zcash оставалась незамеченной: с мая 2022 года до патча, выпущенного в начале июня 2026-го. Ни один ZEC не был похищен. Тем не менее токен потерял почти половину стоимости за 48 часов, а Артур Хейс полностью ликвидировал свою позицию, объявив «Святую Троицу» мёртвой.
Security Incident Report
Отчёт об инциденте безопасности
Протокол
Zcash (Orchard shielded pool)
Похищено средств
$0 подтверждено
Тип
Soundness flaw, неверифицируемый supply
Раскрытие
4-5 июня 2026
Вектор атаки
Недостаточное ограничение в схеме Orchard позволило бы чеканить поддельные ZEC без каких-либо следов. Уязвимость присутствовала с обновления NU5 в мае 2022 года и пережила несколько аудитов.
Реакция протокола
Экстренный хард-форк NU6.2 активирован 3 июня 2026 года после патча начала месяца. Фактов кражи не выявлено.
Источник: Shielded Labs, официальное раскрытие
Источник: Shielded Labs, официальное раскрытие
Как AI-аудит нашёл баг, который эксперты не замечали четыре года
Уязвимость обнаружил Тейлор Хорнби, инженер по безопасности, нанятый Shielded Labs в апреле для ревизии протокола. Дата открытия: 29 мая 2026 года. Инструмент: фреймворк аудита на базе модели Claude Opus 4.8 от Anthropic, вышедшей буквально накануне. Отсутствующее ограничение в схеме Orchard позволяло проводить двойное расходование внутри пула, то есть создавать фальшивые токены, неотличимые от настоящих. За три с лишним года ни один человеческий аудитор эту брешь не нашёл.
Это не мелочь. Это практическое подтверждение смены эпохи в безопасности Web3: те же ИИ-модели, которые ускоряют атаки, теперь находят уязвимости, ускользающие от традиционных ревизий. Shielded Labs опубликовала раскрытие с пояснением, что баг не оставлял возможности доказать его эксплуатацию постфактум.
Мои ZEC в безопасности после бага Orchard?
Честный ответ: риск не в инфляции всей сети, а в возможной несостоятельности пула. Около 30% ZEC в обращении, примерно 5 миллионов монет, хранится на shielded-адресах, и большинство из них проходит именно через Orchard. Если бы кто-то успел начеканить фальшивые токены, легитимные держатели оказались бы разводнены. Крейг Сэлм, главный юрист Grayscale, счёл эксплуатацию до выхода патча маловероятной. Суть в другом: в отличие от Bitcoin или Ethereum, где эксплойт виден on-chain, здесь успешная атака могла не оставить никаких следов. Вообще никогда.
По данным Arkham, один крупный инвестор потерял больше половины позиции объёмом 174 миллиона долларов. «Не продавал ZEC шесть месяцев», и болезненно.
Что говорит обвал всех privacy-монет
Фактически, ценовая хроника рассыпалась на две волны. После хард-форка ZEC отскочил до 624 долларов 4 июня. Затем вышел Хейс, и каскад продаж утащил токен ниже 310. Основатель BitMEX и CIO Maelstrom объяснил решение в посте на X от 5 июня 2026 года: его «Святая Троица» асимметричных ставок, ZEC рядом с HYPE и NEAR, рухнула. «Конфиденциальность против ИИ, правительств и крупных технологических корпораций требует совершенства», написал он.
Цена ZEC, последние сессии (USD)
Цена ZEC, последние сессии (USD)
Источник: CoinGecko, BitMEX Research · 5 июня 2026
Источник: CoinGecko, BitMEX Research · 5 июня 2026
Нарратив конфиденциальности был самым горячим в 2025 году. Теперь то же свойство, которое давало ZEC ценность, его непрозрачность, обернулось против него. Это касается и Monero, и любого токена, обещающего полную анонимность: если нельзя доказать целостность supply, остаётся только доверять. А рынок сегодня доверяет с трудом. Подобные удары по доверию уже хорошо знакомы сектору: достаточно вспомнить задокументированные атаки 2026 года или громкий взлом Kelp DAO на 292 миллиона долларов.
Есть цифра, которая ставит всё на место. По данным CoinGecko, ZEC завершил 2025 год с ростом около 691%, лучшим среди privacy-монет, достигнув 744 долларов 7 ноября. Те, кто вошёл на максимумах, сегодня смотрят на график, застывший ниже 310. Следующее подтверждение, которого стоит ждать, не ценовое, а техническое: разработчики должны сообщить, эксплуатировался ли Orchard когда-либо по-настоящему. Пока этого ответа нет, сожжённые 40% стоимости, по данным CoinGecko, означают одно: рынок закладывает в цену единственное, чего privacy-монета не может себе позволить. Сомнение.
