Zcash stürzt nach kritischer Sicherheitslücke ab: Was der 30%-Einbruch signalisiert

Zcash ($ZEC) ist innerhalb von 24 Stunden um mehr als 30 Prozent auf 410 Dollar eingebrochen – ausgelöst durch die öffentliche Bekanntgabe einer kritischen Schwachstelle im Orchard-Circuit des Netzwerks. Besonders bemerkenswert: Der Fehler war zum Zeitpunkt der Offenlegung bereits behoben. Dennoch vernichtete die Meldung rund 3 Milliarden Dollar Marktkapitalisierung in einem einzigen Handelstag.

Der Grund für die Panik liegt nicht in einem tatsächlich bestätigten Exploit, sondern in einer fundamentalen Unsicherheit: Es lässt sich kryptografisch nicht ausschließen, dass die Lücke bereits ausgenutzt wurde. Für einen Privacy-Coin ist das eine existenzielle Frage.

Die Sicherheitslücke: Was im Orchard-Circuit schiefgelaufen ist

Sicherheitsingenieur Taylor Hornby, engagiert von Shielded Labs, entdeckte den Bug am 29. Mai im Orchard-Circuit – der kryptografischen Kernkomponente von Zcashs abgeschirmtem Transaktionspool. Der Fehler erlaubte falsche Eingaben in eine Elliptic-Curve-Multiplikationsprüfung, was bedeutet: Die Mathematik, die Transaktionen verifizieren soll, ließ sich austricksen. Hornby baute und testete einen funktionierenden Exploit, der unbegrenzt gefälschte ZEC generierte.

Hornby nutzte dabei Claude Opus 4.8 – das einen Tag vor der Entdeckung, am 28. Mai, veröffentlicht worden war – für eine hochgradig gezielte Überprüfung des Circuits. Laut Shielded Labs hätte ein Angreifer mit demselben Werkzeug „unbegrenzt, unentdeckbar gefälschte ZEC in seiner Mainnet-Wallet generieren” können. Die Schwachstelle existierte seit Mai 2022 – drei Jahre lang, ohne von Experten entdeckt zu werden.

Das Zcash Open Development Lab (ZODL) reagierte koordiniert: Zunächst wurde die betroffene Orchard-Funktion über Zebra 4.5.3 temporär deaktiviert, bevor am 3. Juni ein Notfall-Hard-Fork mit Zebra 5.0 und dem Netzwerk-Upgrade NU6.2 aktiviert wurde. Sapling- und transparente Transaktionen waren zu keinem Zeitpunkt betroffen. Das Gesamtangebot des Netzwerks blieb nach Angaben der Entwickler intakt.

Sofortige Marktreaktion: Der 30%-Crash und seine Treiber

Der Kurseinbruch kam nicht beim Bekanntwerden der Lücke am 29. Mai, sondern als weitere technische Details am Folgetag der Patch-Aktivierung öffentlich kommuniziert wurden. Das ist charttechnisch relevant: ZEC hatte zuvor eine Unterstützungszone um 500 Dollar gehalten. Der Durchbruch darunter mit hohem Volumen signalisiert keine kurzfristige Übertreibung, sondern einen strukturellen Vertrauensbruch.

BitMEX-Mitgründer Arthur Hayes erklärte auf X, er habe seine gesamte ZEC-Position liquidiert. „Es lässt sich formal kryptografisch nicht als unmöglich beweisen”, schrieb er zur Frage einer möglichen vorherigen Ausnutzung – und fügte hinzu: „The Holy Trinity is dead.” Damit bezog er sich auf ZEC sowie Hyperliquid (HYPE) und Near Protocol (NEAR), die er in derselben Woche ebenfalls verkauft hatte. Der öffentliche Exit eines prominenten Marktteilnehmers verstärkte den Verkaufsdruck erheblich.

Lies auch: Altcoin-Abverkauf: Wie XRP und der Gesamtmarkt unter Druck geraten

Warum Sicherheitslücken Privacy-Coins härter treffen

Bei einem Standard-Layer-1-Protokoll lässt sich nach einem Exploit oft on-chain nachweisen, was passiert ist. Bei Zcash ist das strukturell anders: Die Privatsphäre-Eigenschaften des Orchard-Pools, die ZEC seinen Wert verleihen, machen es gleichzeitig unmöglich, eine heimliche Ausnutzung vor dem Patch auszuschließen. Das ist kein Fehler im Design – es ist ein inhärenter Zielkonflikt zwischen Datenschutz und Verifizierbarkeitsprinzipien.

Shielded Labs arbeitet nach eigenen Angaben an einem Netzwerk-Upgrade, das es künftig ermöglichen soll, die Integrität des ZEC-Angebots unabhängig zu verifizieren und die Nichtexistenz gefälschter Token im Orchard-Pool zu beweisen. Bis dieses Upgrade produktionsreif und geprüft ist, bleibt die Unsicherheit ein Kurshemmnis. Fest steht: Das Vertrauen in den Kernnutzen von ZEC – überprüfbare Privatsphäre – ist vorübergehend beschädigt.

Mert Mumtaz, Mitgründer und CEO des Solana-Infrastrukturunternehmens Helius, ordnete den Vorfall breiter ein: „Fast alle Privacy-Protokolle haben eine Variante dieser Schwachstelle.” Es handele sich um ein theoretisches Risiko in den meisten Zero-Knowledge-Privacy-Protokollen durch Circuit-Bugs, die schwer auszunutzen oder zu erkennen seien. „Dieses FUD kommt alle fünf Monate zurück, wenn neue Leute lernen, wie Privacy-Pools funktionieren”, so Mumtaz.

Contagion-Risiko: Was der ZEC-Einbruch für Monero und andere Privacy-Coins bedeutet

Die unmittelbare Frage für Anleger in ähnlich positionierten Assets lautet: Wie ansteckend ist der Vertrauensverlust? Monero ($XMR) und andere Privacy-Coins basieren auf unterschiedlichen kryptografischen Grundlagen – Ring-Signaturen statt zk-SNARKs –, sind aber in der öffentlichen Wahrnehmung eng mit ZEC assoziiert. Verstärkter regulatorischer Druck und ein generelles Misstrauen gegenüber unverifizierbaren Angebotsmengen könnten kurzfristig auf die gesamte Asset-Klasse ausstrahlen.

Besonders aufschlussreich ist der historische Vergleich: 2018 entdeckte die Electric Coin Company eine vergleichbare Counterfeiting-Schwachstelle in den zk-Proof-Grundlagen von Zcash und behob sie 2019 – ohne nachgewiesene Verluste. Der Markt reagierte damals deutlich moderater. Der Unterschied heute liegt in der öffentlichen Sichtbarkeit durch Social Media und in der Tatsache, dass ZEC mittlerweile stärker in institutionellen Portfolios vertreten ist.

Lies auch: Drei Krypto-Experten nennen die wahren Gründe für den Mega-Crash

Liquidität und Exchange-Risiko: Drohen Delistings?

Privacy-Coins stehen in der regulatorischen Beobachtung von BaFin und unter dem MiCA-Rahmenwerk ohnehin unter Druck: Mehrere europäische Börsen haben $XMR und $ZEC in den vergangenen Jahren bereits delistet oder den Handel eingeschränkt, um Compliance-Risiken zu minimieren. Ein öffentlich gewordener Counterfeiting-Bug – auch wenn er gepatcht ist – liefert Exchanges ein weiteres Argument, den Handel mit ZEC auszusetzen oder dauerhaft einzustellen.

Für deutsche Anleger unter MiCA ist die Situation besonders heikel: Assets mit nachgewiesenen Angebotsintegritätsproblemen könnten als nicht-konform eingestuft werden. Die Unsicherheit über eine mögliche unbemerkte Inflation des ZEC-Angebots vor dem Patch stellt eine Due-Diligence-Hürde dar, die institutionelle Adressen kurzfristig nicht überwinden können. Liquiditätsentzug durch institutionelle Verkäufe dürfte den Kurs weiter belasten, bevor sich eine technische Stabilisierung einstellt.

Ausblick und Szenarien: Erholung oder struktureller Abschwung?

Der weitere Kursverlauf hängt an zwei Faktoren: dem Ergebnis unabhängiger Post-Mortem-Audits und der Geschwindigkeit, mit der Shielded Labs den angekündigten Supply-Verification-Upgrade liefert. Beide Faktoren sind noch offen. Drei Szenarien erscheinen realistisch:

• Bullisches Szenario: Unabhängige Audits bestätigen innerhalb von 4–6 Wochen, dass keine unbemerkte Ausnutzung stattfand. Der Markt bewertet die schnelle Reaktion von ZODL positiv, und ZEC stabilisiert sich oberhalb der 400-Dollar-Marke. Wahrscheinlichkeit: niedrig bis mittel.
• Basis-Szenario: Audits bleiben inkonklusiv, der Supply-Verification-Upgrade verzögert sich. ZEC konsolidiert zwischen 350 und 450 Dollar mit erhöhter Volatilität, während institutionelles Interesse auf Eis liegt. Wahrscheinlichkeit: mittel.
• Bärisches Szenario: Exchange-Delistings in Europa, anhaltender Vertrauensverlust und ein schwacher Gesamtmarkt – ZEC fällt unter 300 Dollar. Sollte der breitere Fear & Greed Index weiter in den Panikbereich abgleiten, wäre auch dieses Szenario realistisch. Wahrscheinlichkeit: mittel.

Für Anleger dürfte daher vor allem die Frage entscheidend sein, ob das angekündigte Upgrade zur Supply-Verifikation tatsächlich lieferbar ist – und ob unabhängige Auditoren die Integrität des Orchard-Pools bestätigen können.

Sollte beides gelingen, hätte ZEC eine realistische Chance auf eine technische Erholung. Bleibt die Ungewissheit hingegen bestehen, dürfte der Vertrauensverlust in ein Protokoll, dessen Kernversprechen gerade in Frage steht, dauerhafter sein als der reine Kursverlust von 30 Prozent vermuten lässt.

Hier weiterlesen: Vielversprechende Kryptowährungen für den nächsten Zyklus