Zcash onthult kritieke kwetsbaarheid: AI hielp bug ontdekken die onbeperkt ZEC kon creëren

De privacygerichte cryptomunt Zcash heeft een van de ernstigste beveiligingsincidenten uit zijn geschiedenis bekendgemaakt. Onderzoeker Taylor Hornby ontdekte op 29 mei 2026 een kritieke kwetsbaarheid in de Orchard privacy pool van Zcash. De fout maakte het theoretisch mogelijk om een onbeperkte hoeveelheid vervalste ZEC-tokens te creëren zonder dat het netwerk dit kon detecteren.

Opvallend is dat Hornby daarbij gebruikmaakte van Anthropic's nieuwe AI-model Opus 4.8, dat slechts één dag eerder was uitgebracht. Volgens Shielded Labs werd het model ingezet voor een gerichte audit van de cryptografische Orchard-circuits, waarna de kwetsbaarheid vrijwel direct aan het licht kwam.

De fout bevond zich in de Orchard-circuit, het cryptografische systeem achter de meest geavanceerde privacylaag van Zcash. Door een onvoldoende afgedwongen controle in een elliptische-curve-berekening konden aanvallers valse inputs invoeren terwijl de verificatie toch slaagde.

Daardoor konden theoretisch onbeperkt nieuwe ZEC-tokens worden aangemaakt zonder dat andere deelnemers op het netwerk dit konden detecteren. Hornby ontwikkelde een werkende exploit en testte deze succesvol in een lokale omgeving. Volgens Shielded Labs zou dezelfde exploit op het hoofdnetwerk eveneens onbeperkt en onzichtbaar nieuwe ZEC hebben kunnen genereren.

Wat de situatie extra gevoelig maakt, is dat de kwetsbaarheid al sinds de activering van Orchard in mei 2022 aanwezig was. Dat betekent dat de fout bijna vier jaar lang onopgemerkt bleef ondanks audits en inspecties door cryptografen en beveiligingsonderzoekers.

Volgens Shielded Labs bestaat er geen cryptografische methode om achteraf met zekerheid vast te stellen of iemand de fout vóór de ontdekking heeft misbruikt. Juist de privacy-eigenschappen van Orchard maken die verificatie onmogelijk.

Het team benadrukt dat er geen bewijs bestaat dat de kwetsbaarheid daadwerkelijk werd misbruikt. Tegelijkertijd kan het tegendeel ook niet worden bewezen.

Een van de opvallendste aspecten van deze zaak is de rol van kunstmatige intelligentie. Volgens Shielded Labs gebruikte Hornby geavanceerde AI-auditingtechnieken naast traditionele beveiligingsanalyse om complexe cryptografische circuits te onderzoeken.

Kort na de release van Opus 4.8 richtte hij het model specifiek op de Orchard-circuit. Binnen een dag werd de kwetsbaarheid ontdekt.

Dat maakt deze gebeurtenis tot een van de meest spraakmakende voorbeelden van AI-ondersteund beveiligingsonderzoek binnen de cryptosector. Waar AI vaak wordt gezien als hulpmiddel voor aanvallers, laat deze ontdekking zien dat dezelfde technologie ook fundamentele fouten kan opsporen voordat kwaadwillenden dat doen.

Na de melding op 29 mei startte Zcash Open Development Lab (ZODL) direct een gecoördineerde noodoperatie samen met de Zcash Foundation en andere ontwikkelaars binnen het ecosysteem.

Volgens Shielded Labs werd de kwetsbaarheid op 1 juni verholpen. Op 2 juni was de volledige ecosysteembrede respons afgerond. Daarmee bleef het venster voor eventuele aanvallers relatief beperkt.

De ontwikkelaars prijzen de snelle samenwerking tussen verschillende partijen binnen het Zcash-netwerk. Volgens hen heeft die snelle reactie mogelijk voorkomen dat kwaadwillenden de kwetsbaarheid alsnog konden ontdekken.

Hoewel Shielded Labs de kans op eerdere exploitatie klein acht, wil het team gebruikers niet vragen om uitsluitend op die inschatting te vertrouwen.

Daarom werkt het samen met andere ontwikkelaars aan een voorstel voor een nieuwe netwerkupgrade. Het plan omvat onder meer de introductie van een nieuwe shielded pool en aanvullende controles waarmee gebruikers de integriteit van de totale ZEC-voorraad kunnen verifiëren.

Het doel is uiteindelijk om cryptografisch aan te tonen dat er geen vervalste ZEC in omloop is gekomen via Orchard.

De ontwikkelaars verwachten volgende week meer details over het voorstel te publiceren. Zoals bij alle grote netwerkupgrades zal hiervoor steun vanuit de gemeenschap nodig zijn.

Shielded Labs kondigde daarnaast aan zijn beveiligingsinspanningen verder op te voeren. Daarbij speelt AI een centrale rol.

Het team werkt inmiddels opnieuw samen met Taylor Hornby en Anthropic om aanvullende audits uit te voeren met de nieuwste generatie AI-modellen. Daarnaast wil de organisatie de volledige Orchard-circuit formeel laten verifiëren. Daarbij wordt geprobeerd een wiskundig bewijs op te stellen dat er geen vergelijkbare kwetsbaarheden meer aanwezig zijn.

Ook start Shielded Labs een zoektocht naar een nieuwe Head of Security en een extra cryptograaf om de beveiligingscapaciteit verder uit te breiden.

De ontdekking onderstreept hoe complex moderne privacy-cryptografie is geworden. Zelfs systemen die jarenlang door experts zijn onderzocht, kunnen kritieke fouten bevatten die verborgen blijven.

Tegelijkertijd laat de zaak zien dat kunstmatige intelligentie steeds vaker een strategische rol krijgt binnen cybersecurity. Waar AI vaak wordt besproken als risico, toont deze ontdekking aan dat geavanceerde modellen ook kunnen fungeren als krachtige hulpmiddelen voor defensief beveiligingsonderzoek.

Voor zowel de cryptosector als de bredere AI-industrie kan deze gebeurtenis een belangrijk signaal zijn. Naarmate AI-systemen beter worden in het analyseren van complexe software en cryptografie, zal de race tussen verdedigers en aanvallers waarschijnlijk steeds meer door AI worden bepaald.