A kriptóban, ha egy hiba miatt leáll a hálózatod, az ciki. De ha egy hiba miatt kiderül, hogy valaki a háttérben talán évek óta a semmiből nyomtatja a saját tokenjeit, és senki sem tudja bizonyítani az ellenkezőjét, na, az az igazi horror.
Pontosan ebbe a rémálomba szaladt bele a Zcash. A piac egyik legrégebbi és legismertebb privacy coinjáról ugyanis kiderült, hogy a legnagyobb védőpáncélja volt lyukas, és pont a titkosítás miatt ma is egy láthatatlan kérdőjel lebeg a teljes hálózat felett.
Mi történt pontosan?
A baj május 29-én kezdődött, amikor Taylor Hornby, a Shielded Labs, a Zcash mögött álló egyik fejlesztőcsapat biztonsági kutatója egy AI modell segítségével elkezdte átnézni az Orchard pool kódját.
Az Orchard a Zcash legkorszerűbb rendszere, aminek pont az a lényege, hogy teljesen lenyomozhatatlanná tegye a tranzakciókat.
Hornby próbálkozását siker koronázta, bár valószínűleg ő úgy érzi, hogy ez egy olyan siker, ami nélkül meglettek volna. A vizsgálat ugyanis egy iszonyatosan kritikus counterfeiting, azaz hamisítási sebezhetőséget talált az Orchard kódjában, és, hogy mennyire volt nagy a baj?
A kutató nemcsak elméletben találta meg a lyukat, hanem a saját helyi tesztkörnyezetében csinált is hozzá egy exploitot. Szintén sikeresen. Ezzel pedig képes volt korlátlan mennyiségű, teljesen észrevehetetlen hamis ZEC tokent legyártani. A rendszer simán elfogadta az általa gyártott tokeneket valódinak.
A Zcash Open Development Lab azonnal bepánikolt, és sürgősségi vészreakciót léptetett életbe, amely során először egy frissítéssel egyszerűen lekapcsolták és blokkolták az Orchard poolt, majd gyorsan kiküldtek egy végleges javítást.
Mennyire van bajban a Zcash?
A fejlesztők persze rögtön kiadták a kötelező nyugtató közleményeket, kijelentették, hogy „nincs bizonyíték” arra, hogy a hibát a javítás előtt bárki kihasználta volna a valóságban. De van egy óriási „csakhogy”.
A Zcash alapítója, Zooko Wilcox és a csapat kénytelen volt beismerni a legfájdalmasabb igazságot, hogy mivel az Orchard egy privacy pool, aminek pont a tranzakciók eltüntetése a feladata, nincs rá semmilyen kriptográfiai módszer, hogy visszamenőleg bebizonyítsák, történt-e hamisítás vagy sem.
A hálózat felépítése miatt egyszerűen nem lehet száz százalékos bizonyossággal auditálni, hogy a múltban tényleg csak annyi ZEC létezett-e, amennyinek lennie kellett volna.
Zcash founder: Orchard bug could have been used to create undetectable counterfeit ZEC
Zcash founder Zooko Wilcox said security researcher Taylor Hornby discovered a critical counterfeiting vulnerability in Zcash’s Orchard pool on May 29. Zcash Open Development Lab coordinated… pic.twitter.com/wsiBIj8JxX
— Wu Blockchain (@WuBlockchain) June 5, 2026
Ez az a pont, ahol egy privacy coin legerősebb fegyvere, a titkosítás hirtelen visszafelé sül el. Hiába ígérte a hálózat a legszigorúbb adatvédelmet, most pont emiatt a pajzs miatt nem látnak be a saját rendszerükbe, hogy ellenőrizzék, loptak-e belőle.
Zcash's Orchard circuit had a bug since 2022 allowing unlimited counterfeit ZEC – undetectable by design.
The hardest part? There's no cryptographic way to prove whether it was exploited before the patch.
This is exactly why audit keys matter.
With view keys, a designated… https://t.co/ntZZy3l6N1
— Ligero Inc. (@ligero_inc) June 5, 2026
Nem csak egy kódhiba
Ami igazán sokkolta a piacot, és ami miatt a ZEC árfolyama azonnal majdnem 40 százalékot zuhant a bejelentés után, az az időablak.
Ez a hiba nem valami friss baki volt, ami egy elkapkodott frissítés tán tűnt fel. Konkrétan 2022 májusa óta benne volt a rendszerben.
Négy éven keresztül a világ egyik legnagyobb privacy coinja úgy működött, hogy bárki, aki rátalál erre a hibára (és ahogy láttuk, egy modern AI modellel ez nem lehetetlen), végtelen mennyiségű saját pénzt nyomtathatott volna magának. Négy évnyi szakértői audit és átvizsgálás ellenére senki nem vette észre a lyukat.
A bizalmi kár óriási. Hiába foltozták be a rést rohamtempóban, és terveznek hálózati frissítéseket a tokenkínálat ellenőrzésére, a Zcash felett most ott lebeg a gyanú.
A kriptóban ugyanis nem elég azt mondani, hogy „szerintünk senki nem lopott”, mert amíg ezt nem tudod a blokkláncon, matekkal (kriptográfiával) bizonyítani, a befektetők mindig azon fognak rágódni, hogy az ő tokenjük valódi-e, vagy csak egy árnyékpénz.
Olvastad már? Oroszország három tokent is engedélyezett a lakossági befektetőknek
Kriptoworld.hu szerkesztője, a Kriptoworld.hu alapítója
LinkedIn | X (Twitter) | Facebook
A Kriptoworld.hu alapítójaként és szerkesztőjeként írásaiban azt vizsgálom, hogyan alakítják át a gazdasági és technológiai változások az emberek döntéseit, biztonságérzetét és jövőképét. Olyan nézőpontból írok, amely a gyors hírek mögötti következményeket és kérdéseket keresi. Hiszek abban, hogy a kriptovilágról nem csak technikailag, hanem emberi nyelven is lehet hitelesen beszélni. Írásaim célja nem tanácsadás, hanem megértés: segíteni eligazodni egy olyan világban, ahol a pénz, a technológia és a bizalom egyszerre változik.
📅 Megjelenés: 2026. június 7. • 🕓 Utolsó frissítés: 2026. június 6.
✉️ Kapcsolat: [email protected]
Tájékoztatás: A kriptoworld.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg a 2007. évi CXXXVIII. törvény (Bszt.) 4. § (2). bek 8. pontja szerinti befektetési elemzést és a 9. pont szerinti befektetési tanácsadást.
Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!
A cikkekben megjelenő esetleges hibákért téves információkból eredendő anyagi károkért a kriptoworld.hu felelősséget nem vállal.