Криптовалюта Zcash (ZEC) упала на 30% до $400 за последние сутки после того, как некоммерческая организация Shielded Labs, занимающаяся разработкой протокола, раскрыла информацию о критической уязвимости в блокчейне. Баг существовал в системе с мая 2022 года и мог позволить злоумышленникам создавать неограниченное количество поддельных токенов без возможности обнаружения.

Что случилось с Zcash

В четверг, 4 июня, Shielded Labs опубликовала детальное описание уязвимости в пуле конфиденциальности Orchard — криптографической системе, обеспечивающей приватность транзакций в сети Zcash. Согласно заявлению организации, эксплуатация бага позволила бы атакующему выпустить бесконечное число поддельных ZEC, причём сеть не смогла бы это зафиксировать.

Аналогия проста: представьте, что кто-то получил доступ к печатному станку центробанка и может печатать деньги, а система учёта при этом не замечает новых купюр. В случае с Zcash речь идёт именно о такой ситуации — только в цифровом формате.

Уязвимость обнаружил инженер по безопасности Тейлор Хорнби 29 мая 2026 года. Хорнби был нанят Shielded Labs в апреле специально для поиска критических багов в протоколе до того, как их найдут злоумышленники. При проверке он использовал ИИ-модель Anthropic Opus 4.8, которая помогла выявить слабое место в схеме Orchard.

Как работал эксплойт

Хорнби не просто нашёл теоретическую проблему — он написал полноценный эксплойт и протестировал его в изолированной среде. Результат оказался шокирующим: инструмент успешно генерировал неограниченное количество поддельных ZEC, которые невозможно было отличить от настоящих.

Shielded Labs заявила, что если бы тот же код запустили в основной сети Zcash (mainnet), злоумышленник смог бы вывести фальшивые токены на свой кошелёк, и никто бы этого не заметил. Представьте атакующего, который месяцами или годами тихо печатает ZEC и держит их, не привлекая внимания. Ущерб доверию к эмиссии и рыночной стоимости токена мог бы быть катастрофическим.

Уязвимость существовала четыре года

После обнаружения бага Хорнби немедленно сообщил о нём в Zcash Open Development Lab (ZODL). Команда скоординировала экстренное исправление, которое было внедрено 1 июня — всего через три дня после находки. Формально разработчики отреагировали быстро и профессионально.

Однако рынок впечатлён не был. Причина — в признании самой Shielded Labs: баг присутствовал в коде с момента активации пула Orchard в мае 2022 года. То есть уязвимость существовала четыре года, оставаясь незамеченной всё это время.

Что ещё хуже, организация открыто заявила: невозможно с уверенностью сказать, использовал ли кто-то эту уязвимость до исправления. «Из-за свойств приватности Orchard и природы бага не существует способа определить только криптографическими методами, была ли уязвимость эксплуатирована до обнаружения и исправления. Мы считаем важным быть прозрачными в отношении этой неопределённости», — говорится в заявлении.

Тем не менее, Shielded Labs считает, что эксплуатация маловероятна. Организация не привела развёрнутой аргументации, но намекнула на ряд косвенных факторов, указывающих на отсутствие злонамеренной активности.

Реакция рынка и меры по восстановлению доверия

Падение ZEC на 30% — это не только реакция на саму уязвимость, но и на неопределённость вокруг целостности эмиссии. Инвесторы не могут быть уверены, что в обращении сейчас находится именно то количество токенов, которое должно быть по протоколу.

Shielded Labs заявила о планах по обновлению сети с новыми мерами аудита и контроля эмиссии, а также расширением программы по поиску уязвимостей. Организация намерена восстановить доверие к ZEC, но на это потребуется время.

Что это значит для российских инвесторов

Для держателей Zcash в России ситуация критическая. Если вы храните ZEC — рекомендуется внимательно следить за новостями от Shielded Labs и ZODL. Пока неясно, будет ли предложен хардфорк или другие механизмы верификации эмиссии.

Торговля ZEC доступна на Bybit, MEXC и других международных платформах, работающих с российскими пользователями через P2P. Однако в свете текущих событий рекомендуется воздержаться от покупок ZEC до полного прояснения ситуации с эмиссией. Если вы планируете продать токены — учитывайте, что ликвидность может быть снижена из-за падения доверия к активу.

Налоговые последствия продажи ZEC с убытком в РФ стандартны: убыток можно зачесть против прибыли от других криптоопераций в течение года. Однако если вы держали ZEC более трёх лет и сумма продажи не превышает 250 тыс. рублей в год, доход освобождается от НДФЛ согласно новым правилам 2025 года.