Kritische Sicherheitslücke bei Zcash aufgedeckt: Details und Auswirkungen auf ZEC

05. Juni 2026, 10:53 Uhr · Quelle: cryptoBro

cryptocurrency, bitcoin, coin, money, digital, finance, crypto, cognac, liquor, clock

Foto: lukinIgor via Pixabay

ZEC stürzte nach der Meldung einer Sicherheitslücke um etwa 45 Prozent ab.

Die Kryptowährung Zcash (ZEC) erlebte einen dramatischen Kurssturz von etwa 45 %, nachdem der Gründer des Protokolls, Zooko Wilcox, und andere wichtige Akteure eine bedeutende Sicherheitslücke bekanntgaben.

Forscher entdeckten und behoben kürzlich eine kritische Schwachstelle im Zusammenhang mit dem Orchard-Shielded-Pool von Zcash. Diese hätte es einem Angreifer ermöglicht, unbemerkt unbegrenzt gefälschte ZEC zu erzeugen.

Diese Art von Fehler stellt eine der gravierendsten Bedrohungen für eine Kryptowährung dar, da sie die Integrität des Münzangebots gefährden könnte. Die Autoren der Entdeckung betonten, dass eine frühere Ausnutzung der Schwachstelle unwahrscheinlich sei. Aufgrund der Datenschutzfunktionen des Protokolls gibt es jedoch keine kryptografische Möglichkeit, zu beweisen, ob der Fehler vor seiner Behebung ausgenutzt wurde.

Was geschah mit ZEC am 5. Juni 2026?

Am 5. Juni 2026 erlebte ZEC einen massiven Kurssturz, bei dem der Wert von über $600 auf etwa $300 fiel. Dieser plötzliche Rückgang folgte auf die Enthüllung einer erheblichen Sicherheitslücke durch den Gründer des Protokolls, die es Angreifern ermöglicht haben könnte, gefälschte Token zu erzeugen.

Der Sicherheitsforscher Taylor Hornby entdeckte die Schwachstelle am 29. Mai 2026 während einer Überprüfung des Orchard-Circuits des Protokolls. Orchard ist ein Teil des Zcash-Protokolls, der private Transaktionen ermöglicht. Hornby wurde im April 2026 von Shielded Labs beauftragt, kontinuierliche Sicherheitsforschung am Protokoll durchzuführen, um versteckte Schwachstellen zu finden, bevor böswillige Hacker sie entdecken könnten.

Die Entdeckung erfolgte kurz nach der Veröffentlichung des Opus 4.8 KI-Modells von Anthropic am 28. Mai. Hornby nutzte dieses Modell als Teil einer gezielten Überprüfung des Orchard-Circuits. Er kombinierte KI-gestützte Überprüfung mit traditioneller Sicherheitsforschung und fand den Fehler einen Tag später, den er dem Zcash Open Development Lab (ZODL) meldete.

ZODL koordinierte eine Notfallreaktion im gesamten Zcash-Ökosystem und schloss die Sicherheitslücke bis zum 2. Juni. Dennoch bleibt die Frage, ob der Fehler vor seiner Behebung Schaden angerichtet haben könnte.

Warum war dieser Fehler so ernst?

Die Schwachstelle hätte es ermöglicht, gefälschte ZEC im Orchard-Pool zu erzeugen. Kryptowährungen basieren auf strengen Regeln, um Fälschungen zu verhindern. Eine Blockchain muss jederzeit sicherstellen, dass die ausgegebenen Coins tatsächlich existieren und niemand heimlich mehr erzeugt, als erlaubt ist. Zcash hat ein maximales Angebot von 21 Millionen ZEC, ähnlich dem festen Angebotsmodell von Bitcoin. Die Möglichkeit, unbegrenzt gefälschte ZEC zu erzeugen, würde eines der grundlegendsten Versprechen des Systems untergraben.

Die Schwachstelle wurde durch ein "unterbeschränktes" Element im Orchard-Circuit verursacht. Ein Circuit ist ein mathematisches System, das überprüft, ob eine private Zcash-Transaktion den Regeln folgt, ohne sensible Details preiszugeben. "Unterbeschränkt" bedeutet hier, dass der Circuit nicht vollständig überprüfte, was er überprüfen sollte. Der Fehler ermöglichte die Einfügung falscher Eingaben in eine zentrale kryptografische Operation, die elliptische Kurvenmultiplikation, während der Nachweis dennoch gültig erschien.

Der Forscher baute einen vollständigen Exploit und testete ihn in einer lokalen Umgebung. Dabei erzeugte der Exploit praktisch unbegrenzt undetektierbare gefälschte ZEC. Die Autoren gaben zu, dass, wenn dasselbe Tool vor der Behebung im Mainnet verwendet worden wäre, es gefälschte ZEC direkt in der realen Zcash-Wallet erzeugt hätte.

Das Dilemma der Privatsphäre

Ein entscheidender Punkt dieser Enthüllung ist nicht nur, dass der Fehler existierte, sondern dass das Datenschutzdesign von Zcash es unmöglich macht, zu beweisen, ob er jemals vor der Behebung ausgenutzt wurde. Die Schwachstelle existierte seit der Aktivierung von Orchard im Mai 2022, also über vier Jahre lang.

Zcash ist so konzipiert, dass geschützte Transaktionen keine öffentlichen Details über den Sender, den Empfänger oder den überwiesenen Betrag preisgeben. Diese Privatsphäre ist der Hauptzweck des Systems. Gleichzeitig erschwert sie jedoch die forensische Analyse erheblich.

Auf einer traditionellen öffentlichen und transparenten Blockchain können Ermittler ungewöhnliche Coin-Erstellungen oder verdächtige Transaktionsmuster nachverfolgen. In Orchard sind die relevanten Informationen, die auf mögliche Schäden hinweisen könnten, jedoch absichtlich verborgen. Daher kamen die Autoren zu dem Schluss, dass es keine definitive kryptografische Möglichkeit gibt, festzustellen, ob gefälschte Coins vor der Behebung der Schwachstelle erstellt wurden.

Es ist wichtig zu betonen, dass dies nicht bedeutet, dass Fälschungen stattgefunden haben – es bedeutet nur, dass es keinen Beweis dafür gibt, dass sie nicht stattgefunden haben.

Autoren halten Ausnutzung für unwahrscheinlich: Hier ist der Grund

Trotz der ernsten Natur der Schwachstelle argumentieren die Autoren, dass eine frühere Ausnutzung wahrscheinlich unwahrscheinlich war.

Der erste Grund ist, dass die Schwachstelle jahrelang unentdeckt blieb, obwohl das Zcash-Protokoll von erfahrenen Sicherheitsingenieuren und Kryptographen überprüft wurde. Orchard wurde im Mai 2022 aktiviert, was bedeutet, dass der Fehler vier Jahre lang unentdeckt blieb (oder zumindest ist keine Entdeckung bekannt).

Der zweite Grund ist, dass Hornby speziell zur Suche nach tiefen Protokollschwachstellen eingestellt wurde, und diese Entdeckung war kein Zufall. Sie war das Ergebnis gezielter Sicherheitsanstrengungen unter Verwendung fortschrittlicher Werkzeuge und fachkundiger Beurteilung.

Die Autoren betonten, dass die Schwachstelle nur wenige Tage nach ihrer Entdeckung behoben wurde. Dennoch baten sie die Nutzer, ihrem Urteil nicht blind zu vertrauen, und schlugen einen formelleren Weg zur Wiederherstellung des Vertrauens vor.

Wie geht es weiter?

Shielded Labs arbeitet mit anderen Zcash-Entwicklern an einem möglichen Netzwerk-Upgrade, das es den Nutzern ermöglichen würde, die Integrität des ZEC-Angebots zuverlässig zu überprüfen.

Diese Idee beinhaltet die Schaffung eines neuen geschützten Pools und die Verwendung von "Turnstile Accounting" für Coins, die Orchard verlassen. Einfach ausgedrückt würde dies einen kontrollierteren Migrationspfad schaffen. Coins könnten vom alten Pool in den neuen unter Regeln verschoben werden, die sicherstellen, dass nicht mehr ZEC herauskommen, als legitim hineingegangen sind.

Ein solches Netzwerk-Upgrade würde nicht automatisch erfolgen – es würde die Unterstützung der Gemeinschaft durch den normalen Regierungsprozess erfordern.

Opus 4.8 und seine Rolle bei der Entdeckung der Zcash-Schwachstelle

Einer der beeindruckendsten Aspekte dieser Geschichte ist die Rolle der KI-gestützten Sicherheitsforschung.

Taylor Hornby nutzte das Opus 4.8-Modell von Anthropic als Teil der Überprüfung, die zur Entdeckung führte.

Das bedeutet nicht, dass die KI den Fehler "allein gefunden" hat. Die Enthüllung macht deutlich, dass der Prozess einen sehr erfahrenen Fachmann, eine gezielte Überprüfung, maßgeschneiderte Werkzeuge und eine fachkundige Analyse umfasste. Es zeigt jedoch auch, dass KI-Systeme zunehmend Teil von sicherheitskritischen Arbeiten werden könnten, insbesondere in komplexen kryptografischen Systemen, in denen selbst kleinste Fehler unverhältnismäßig große Konsequenzen haben können.

Shielded Labs gab an, diese Art von proaktiver Forschung nun zu beschleunigen.

Finanzen / Crypto / Zcash / ZEC / Orchard / Shielded Labs / Zcash Open Development Lab
05.06.2026 · 10:53 Uhr
[0 Kommentare]