Dari data kejutannya: udah setengah desentralisasi yang ancur malem itu.
Seorang security researcher bisa duduk di kursinya, ngejalanin AI model yang baru dirilis 24 jam lalu, dan menghasilkan working exploit yang bisa ngeprint ZEC palsu di shielded pool tanpa ada yang sadar selama empat tahun.
Dan CEO BitMEX, setelah 6 bulan hype-in privacy coin sebagai “Holy Trinity” portfolio-nya, jual semua ZEC dalam hitungan jam.
Yang Sebenarnya Terjadi
29 Mei 2026 - Taylor Hornby, security researcher yang dikontrak Shielded Labs (organisasi independen yang ngembangin Zcash), lagi ngelakuin audit rutin pake alat baru. Alat barunya: Anthropic Opus 4.8 - AI model frontier yang baru rilis 28 Mei.
Dia gak cari bug. Dia cuma jalanin AI-assisted audit harness. Hasilnya: working exploit yang bisa ngeprint unlimited counterfeit ZEC langsung ke wallet mainnet.
Dalam laporannya ke Zcash Open Development Lab (ZODL), Hornby nulis:
“I produced a working exploit in a local regtest environment that generated unlimited, undetectable counterfeit ZEC. If I had run the same tool on Zcash mainnet, it would have generated unlimited, undetectable counterfeit ZEC in my mainnet wallet.”
Gak ada drama. Gak ada leak. Gak ada hacker jahat yang duluan nemu. Hornby langsung lapor ke tim Zcash.
Timeline response:
| Tanggal | Event |
|---|---|
| May 2022 | Orchard shielded pool launch di mainnet. Bug udah ada dari sini. |
| 29 May 2026 | Hornby nemu bug pake Opus 4.8, langsung lapor ke ZODL. |
| 31 May | Koordinasi private sama miner dan exchange. |
| 1 June | Emergency patch siap. |
| 2 June | Soft-fork aktivasi di block 3,363,426 - Orchard transaksi di-disable sementara. Transparent & Sapling pool tetap jalan normal. |
| 3 June | NU6.2 hard fork aktivasi - Orchard di-re-enable pake circuit yang udh diperbaikin. |
| 4-5 June | Public disclosure. ZEC crash 30-57%. |
Respon tim Zcash cepet. Dari discovery ke patching: 4 hari. Itu lumayan buat project yang governance-nya desentralisasi. Tapi masalahnya bukan di response time.
Kenapa Ini Beda Dari Bug Biasanya
Biasanya bug di blockchain, setelah di-patch, semua orang bisa ngeliat ke belakang dan ngecek: “apa ada yang exploit celah ini sebelum di-fix?”
Di Bitcoin, kalau ada bug yang bisa double-spend, semua full node bisa scan history dan liat transaksi aneh.
Di Zcash Orchard? Gak bisa.
Orchard adalah shielded pool. Transaksi di dalamnya privat - gak ada yang tau siapa ngirim ke siapa, berapa jumlahnya, atau balance masing-masing address. Itu fitur, bukan bug. Tapi pas ada celah kaya gini, fitur yang sama jadi masalah besar.
Shielded Labs disclosure-nya jujur banget:
“Because of the privacy properties of Orchard and the nature of the bug, there is no definitive way to determine using only cryptography whether such exploitation occurred before the vulnerability was discovered and fixed.”
Artinya: Mungkin aja ada yang exploit celah ini selama 4 tahun dan kita gak bakal pernah tau.
Akar Masalah Teknis
Biar gak terlalu abstrak, ini penjelasan singkat tentang apa yang salah.
Orchard pake zero-knowledge proof circuit buat nge-validasi transaksi privat. Di dalam circuit itu, ada elliptic-curve multiplication check - semacem pemeriksaan matematis buat mastiin transaksi valid.
Masalahnya: satu elemen di circuit itu under-constrained. Artinya, penyerang bisa masukin input sembarangan - input yang secara matematis invalid - tapi circuit tetep nerima sebagai valid.
Konsekuensinya: penyerang bisa bikin proof palsu yang bilang “saya punya 1,000 ZEC di Orchard pool” padahal gak punya, dan network percaya.
Vulnerability classification: soundness bug - system accept proof yang harusnya ditolak. Ini yang paling fatal buat shielded pool.
Dampak ke Harga
ZEC adalah salah satu aset dengan performa terbaik di 2026 sebelum kejadian ini.
Dari ~$200 di March 2026, ZEC rally ke ~$675 di late May. Volume shielded transaction naik, adopsi privacy coin lagi naik daun, dan pasar lagi ngeliat Zcash sebagai penerima manfaat dari tren AI.
Lalu ini terjadi:
| Timeline | Harga ZEC |
|---|---|
| Pre-disclosure (3-4 June) | ~$635-675 |
| Post-disclosure (4-5 June) | ~$250-309 |
| Recovery (6 June) | ~$310-340 |
| Market cap loss | ~$3-5B (-50%+) |
RSI sempet mentok di 19.27 - oversold level yang jarang banget terjadi. Volume trading tembus $2.2B, naik 66%.
Arthur Hayes (CEO BitMEX) adalah yang paling vokal:
“The Holy Trinity is dead.”
Yang dimaksud adalah tiga aset utamanya: HYPE (Hyperliquid), ZEC (Zcash), NEAR. Dia jual paksa semua ZEC. Tapi gak cuma itu - dia juga jual HYPE dan NEAR sekitar waktu yang sama, dan rotate ke Worldcoin (WLD).
Alasannya menarik:
“While I think it’s extremely unlikely of any minting, it cannot be formally cryptographically proved impossible.”
Kalau diterjemahin: “Meskipun saya yakin banget gak ada eksploitasi, secara kriptografi gak bisa dibuktiin.”
Dia bilang privacy coin butuh “perfection, not improbability” - karena menghadapi narasi surveillance dari AI, pemerintah, dan big tech. Tapi dia ninggalin celah: bakal beli lagi kalau supply integrity bisa diverifikasi, bahkan di harga yang lebih tinggi.
Kenapa Ini Bukan Kali Pertama
Yang paling bikin saya mikir ulang soal Zcash: ini bukan kejadian pertama.
Tahun 2018/2019, Sprout shielded pool (pendahulu Orchard) kena critical counterfeiting bug yang mirip banget. Waktu itu juga soundness bug di ZK circuit. Juga lama gak terdeteksi. Juga gak ada cara buktiin apakah udah dieksploitasi.
Udi Wertheimer (crypto commentator, gak asing karena sering debat soal Bitcoin) nulis:
“This isn’t the first time a bug like this was discovered in Zcash. Last time it was disclosed after being a year+ in the wild, and everyone lost faith and Zcash went to zero for 7 years.”
Dua kali. Dua shielded pool. Dua critical soundness bug.
Ini yang bikin saya personally kurang percaya diri sama long-term viability shielded pool design Zcash. Bukan karena timnya jelek - mereka responsif dan transparan. Tapi karena secara fundamental, privacy dan auditability adalah trade-off yang susah banget diseimbangin.
Dampak ke Privacy Coin Lain
Efeknya gak cuma ke ZEC.
Monero (XMR) justru naik ~7%+ ke $357 pas ZEC crash. Volume trading naik 45% ke $284M. Kenapa? Karena:
- Privacy mandatory. Semua transaksi Monero privat, bukan opt-in. Gak ada “safe mode” transparent transactions.
- Supply verification lebih kuat. Monero pake mekanisme yang lebih mature buat mastiin gak ada inflation.
- Gak kena bug ZK circuit. Monero pake ring signatures + stealth addresses, bukan zero-knowledge proofs. Attack surface-nya beda.
Tapi Monero punya masalah sendiri: 73 centralized exchanges udah delist XMR di 2025 karena tekanan regulasi MiCA (EU) dan FATF Travel Rule. Gak ada ETF Monero. Gak ada margin produk. Gak ada regulated custody.
Joe Andrews (CEO Aztec Labs, project privacy layer di Ethereum) nge-highlight recurring pattern:
“Under-constrained elliptic curve checks are among the most common weaknesses in production ZK circuits. Recommendation: formal verification + a second proof system.”
Artinya: ZK circuit itu rawan. Formal verification (proof matematis kalau circuit bener) dan dual-proof system harusnya jadi standar, bukan opsional.
Rencana Perbaikan
Shielded Labs udah ngumumin rencana network upgrade buat ngatasin fundamental issue:
- Deploy shielded pool baru dengan circuit yang di-formally verified
- Turnstile accounting - setiap koin yang keluar dari Orchard diperiksa konsistensi inflow vs outflow-nya. Intinya: siapapun bisa verify kalau supply ZEC gak inflated.
- Wajib unshield sebelum masuk pool baru - ini mastiin koin lama lewat audit supply
Semua ini harus lewat governance process Zcash. Gak instan. Tapi at least ada roadmap.
Craig Salm (GC Grayscale) ngasih argumen tandingan:
“Exploitation was unlikely - someone would have had to out-examine all core developers and resist draining the pool during a bull run.”
Valid point. Tapi argumen ini gak tentuin: “unlikely” beda dengan “provable.” Dan buat privacy coin, provable itu standar yang harus dipenuhi.
Risiko & Refleksi
Buat yang masih pegang ZEC:
- Counterfeit supply risk. Ada kemungkinan (walaupun kecil) total supply ZEC udah inflated tanpa diketahui. Ini masalah trust, bukan teknis.
- Recovery tergantung governance. Proposal Shielded Labs harus lolos governance. Kalau gagal atau molor, trust recovery makin susah.
- Competition. Monero dan ZK privacy layer (Aztec, etc.) bisa ambil market share dari Zcash.
Buat privacy coin secara umum:
- ZK circuits masih immature. Dua critical bug di Zcash dalam 7 tahun. Ini track record yang gak bagus buat teknologi yang katanya “matang.”
- Privacy vs auditability trade-off. Semakin privat sebuah blockchain, semakin susah ngedeteksi masalah supply. Ini fundamental, bukan temporary.
- Regulatory angle. Kalau privacy coin sendiri aja gak bisa ngejamin supply integrity-nya, gimana mau ngadepin regulasi yang minta transparansi?
Opini Saya
Saya ngikutin Zcash dari 2019, pas pertama kali denger soal zero-knowledge proofs dan mimpi “internet uang yang privat.” Saya pernah pegang ZEC kecil-kecilan di 2021, jual di 2022 pas bear market.
Jujur: kejadian ini bikin saya makin yakin kalau privacy coin yang pake opt-in shielded pool punya fundamental trust issue. Bukan berarti teknologinya jelek atau timnya incompetent - sebaliknya, tim Zcash termasuk yang paling transparent soal keamanan.
Tapi privacy opt-in artinya: mayoritas transaksi Zcash happen di transparent pool. Yang privat cuma sebagian kecil. Dan sebagian kecil itu - pas ada bug - jadi black box yang gak bisa diaudit.
Saya ngeliat Monero lebih siap secara teknis buat long-term privacy narrative. Tapi masalah distribusi dan delisting exchange bikin adopsinya terbatas.
ZK privacy layers (Aztec, etc.) di Ethereum mungkin jadi solusi yang lebih menarik: privacy di layer atas, settlement security di Ethereum. Tapi mereka masih early.
Kesimpulan saya: Zcash gak akan mati karena ini. Timnya respon cepet, komunitasnya solid, dan udah ada roadmap perbaikan. Tapi kepercayaan yang ilang - apalagi buat yang kedua kalinya - gak akan balik cepet. Dan di market yang lagi bearish, trust recovery butuh waktu lebih lama.
Saya pribadi wait-and-see. Kalau turnstile accounting berhasil diimplementasi dan audit formal Orchard circuit keluar bersih, Zcash bisa balik. Tapi buat sekarang, saya prefer observed from distance.
Sumber
- Shielded Labs - Orchard Vulnerability Disclosure
- Zcash Foundation - NU6.2 Upgrade Details
- Arthur Hayes Statement via X/Twitter
- CoinDesk - ZEC Price Coverage
- The Block - Zcash Vulnerability Detail
- Yahoo Finance - ZEC Crashes 38%
- Monero Price Data - CoinMarketCap
- Aztec Labs - Joe Andrews Comment on ZK Circuit Security
- Udi Wertheimer Commentary on Zcash Sprout/Orchard Pattern
Artikel ini pertama kali diterbitkan 6 Juni 2026. Update akan ditambahkan kalau ada perkembangan soal turnstile accounting atau hasil audit Orchard circuit.