60 százalékot esett a Zcash árfolyama, miután kiderült, hogy a fejlesztőknek egy sürgősségi hálózati frissítést kellett végrehajtaniuk. A sérülékenység lehetővé tehette volna, hogy valaki kétszer költsön el bizonyos összegeket, vagyis olyan érték jelenjen meg a rendszerben, amelynek nem lett volna szabad léteznie.
A fejlesztők szerint nincs nyoma annak, hogy a hibát bárki kihasználta volna, és a Zcash 21 milliós maximális kínálata sem sérült. Az eset mégis kellemetlen pillanatban érkezett. A bitcoin eleve gyenge formában volt, a Zcash pedig pont egy olyan hibával szembesült, ami egy privacy coinnál a legérzékenyebb kérdés, és újra bizalmat kellett építeni egy olyan rendszerben, amiben a tranzakciók jelentős része titkosított és kívülről nem látható.
Gyorsan léptek a fejlesztők
A hibát május 29-én Taylor Hornby biztonsági kutató találta meg. A probléma az Orchard nevű shielded poolhoz kapcsolódott, ami a Zcash egyik adatvédelmi, anonim utalásokat támogató megoldása. A sérülékenység úgynevezett soundness bug volt, vagyis olyan hiba, amely miatt a hálózat elméletileg olyan tranzakciót is elfogadhatott volna, amelyet normál esetben el kellett volna utasítania.
A hibát annak kijavítása előtt nem nyilvánosan hozták nyilvánosságra. Hornby privát módon jelezte a problémát a fejlesztőknek, akik néhány órán belül megerősítették a sérülékenység létezését, majd megkezdték annak elhárítását. Ezt követően a fejlesztők, bányászok, tőzsdék és node-üzemeltetők összehangolt frissítést hajtottak végre.
Nem keletkezett többlet ZEC
A Zcash úgynevezett turnstile mechanizmusa később azt mutatta, hogy nem keletkezett többlet ZEC a rendszerben. Ez azért fontos, mert a mechanizmus azt figyeli, mennyi érték lép be és ki az egyes poolokból. Vagyis ha valahol hirtelen több ZEC jelent volna meg, mint amennyi szabályosan bekerült, annak elvileg nyoma lett volna.
A piacot azonban nem csak az érdekli, hogy mi történt ténylegesen. Legalább ilyen fontos az is, hogy a befektetők mit gondolnak arról, mi történhetett volna. A Zcash körüli vita ezért gyorsan túlnőtt magán a hibán.
A pesszimistább értelmezés szerint az eset rámutat arra, hogy a shielded poolok egyenlege körül mindig lehet bizonytalanság. Ha a poolból később nagyobb összeg áramlik ki, a külső megfigyelő nem feltétlenül tudhatja biztosan, hogy szabályos kivonásról vagy korábban létrehozott, hibásan keletkezett érmékről van-e szó.
Ez a félelem különösen érzékeny egy olyan eszköznél, aminek értékajánlata az adatvédelemre épül. A Zcash ugyanis nem úgy működik, mint a teljesen átlátható blokkláncok. A shielded tranzakciók célja, hogy a feladó, a címzett és az összeg ne legyen mindenki számára látható. Ez viszont szükségszerű kompromisszumot jelent, a nagyobb adatvédelem kisebb ellenőrizhetőséggel jár.
Az esést ugyanakkor nem érdemes kizárólag a technikai hibára visszavezetni. A Zcash az elmúlt időszakban kifejezetten erős teljesítményt mutatott, ezért a hír olyan piaci helyzetben érhette a coint, ahol már eleve sok volt a további emelkedésre számító befektető. Ilyenkor egy negatív hír gyakran nemcsak önmagában vált ki eladási hullámot, hanem profitrealizálásra késztetheti a régebbi, és elbizonytalaníthatja a nemrégiben csatlakozó új vásárlókat, kiszorítva a túl magas tőkeáttétellel nyitott, vagy gyengébb kezű pozíciókat. Mivel eközben a bitcoin is jelentősen esett, a ZEC-re egyszerre nehezedhetett egy általános piaci nyomás, a sérülékenység körüli bizalmi kockázat és a kifejezetten a coin körül kialakult spekuláció negatív hatása.