Quattro anni. Tanto è rimasto nascosto un difetto nell'Orchard Pool di Zcash, dal maggio 2022 fino al fix distribuito a inizio giugno 2026. Nessuno ha rubato un solo ZEC. Eppure il token ha perso quasi metà del valore in 48 ore e Arthur Hayes ha liquidato l'intera posizione, dichiarando morta la sua «Holy Trinity».
Security Incident Report
Security Incident Report
Protocollo
Zcash (Orchard shielded pool)
Importo sottratto
$0 confermato
Tipo
Soundness flaw, supply non verificabile
Disclosure
4-5 giugno 2026
Vettore
Un vincolo insufficiente nel circuito Orchard avrebbe permesso di coniare ZEC contraffatti senza lasciare traccia. Presente dal NU5 di maggio 2022, sopravvissuto a più audit.
Risposta del protocollo
Hard fork di emergenza NU6.2 attivato il 3 giugno 2026, dopo il fix di inizio mese. Nessun furto rilevato.
Fonte: Shielded Labs, disclosure ufficiale
Fonte: Shielded Labs, disclosure ufficiale
Come un audit AI ha trovato il bug che gli esperti non vedevano da quattro anni
Il difetto lo ha scovato Taylor Hornby, ingegnere della sicurezza assunto da Shielded Labs ad aprile per una revisione del protocollo. Data della scoperta: 29 maggio 2026. Lo strumento? Un framework di audit assistito dall'intelligenza artificiale, costruito attorno al modello Claude Opus 4.8 di Anthropic, uscito appena il giorno prima. Un vincolo mancante nel circuito Orchard avrebbe consentito una doppia spesa interna al pool, cioè la creazione di token falsi indistinguibili da quelli legittimi. Per oltre tre anni e mezzo nessun revisore umano lo aveva intercettato.
Non è un dettaglio da poco. È la conferma pratica di un cambio di paradigma che avevamo già raccontato analizzando la sicurezza della DeFi nell'era degli agenti AI: gli stessi modelli che accelerano gli attacchi ora trovano falle che gli audit tradizionali si lasciano sfuggire. Shielded Labs ha pubblicato la disclosure spiegando che il bug era impossibile da provare ex post.
Le mie ZEC sono al sicuro dopo il bug Orchard?
Risposta onesta: il rischio non è l'inflazione dell'intera chain, ma l'eventuale insolvenza del pool. Circa il 30% dei ZEC in circolazione, all'incirca 5 milioni di monete, vive in indirizzi shielded, e la maggior parte passa proprio da Orchard. Se qualcuno avesse coniato token falsi, i detentori legittimi verrebbero diluiti. Craig Salm, chief legal officer di Grayscale, ritiene improbabile uno sfruttamento prima della patch. Il punto resta un altro: a differenza di Bitcoin o Ethereum, dove un exploit è visibile on-chain, qui un attacco riuscito potrebbe non lasciare alcuna prova. Mai. Per chi tiene asset in custodia, la lezione è sempre quella della differenza tra hot e cold wallet e di un buon wallet hardware: la prima difesa parte da te.
Arkham ha fotografato il danno: un singolo grande investitore ha perso oltre metà di una posizione da 174 milioni di dollari. «Non vendeva ZEC da sei mesi.» Ouch. ì
Cosa dice il crollo di tutte le privacy coin
La cronologia del prezzo racconta due ondate. Dopo l'hard fork, ZEC era rimbalzato fino a 624 dollari il 4 giugno. Poi è uscito Hayes, e la cascata di vendite lo ha trascinato sotto i 310. Il fondatore di BitMEX e CIO di Maelstrom ha spiegato la mossa su X: la sua «Holy Trinity» di scommesse asimmetriche, ZEC accanto a HYPE e NEAR, era saltata. «La privacy contro AI, governi e big tech esige la perfezione», ha scritto. → post di @CryptoHayes del 5 giugno 2026.
Prezzo ZEC, ultime sedute (USD)
Prezzo ZEC, ultime sedute (USD)
Fonte: CoinGecko, BitMEX Research · 5 giugno 2026
Fonte: CoinGecko, BitMEX Research · 5 giugno 2026
La narrativa privacy era stata la più calda del 2025, come avevamo visto raccontando il miliardo raccolto sulla privacy crypto. Ora la stessa proprietà che dà valore a ZEC, l'opacità, gli si ritorce contro. Vale per Monero e per ogni token che promette anonimato totale: se non puoi dimostrare che il supply è integro, devi fidarti. E il mercato, di questi tempi, si fida poco. Non è il primo colpo alla fiducia del settore: pensa al peso degli attacchi documentati nella inchiesta sugli hack del 2026 o al caso Kelp DAO da 292 milioni.
Resta un dato che inquadra tutto. ZEC aveva chiuso il 2025 a circa +691%, la migliore tra le privacy coin, toccando 744 dollari il 7 novembre. Chi è entrato su quei massimi oggi guarda un grafico inchiodato sotto i 310. La prossima conferma da attendere non è di prezzo ma tecnica: gli sviluppatori dovranno dire se l'Orchard sia mai stato davvero sfruttato. Finché non arriva quella risposta, il 40% bruciato è il mercato che prezza l'unica cosa che una privacy coin non può permettersi. Il dubbio.
