Zcash : la mise à jour Ironwood pour corriger une faille de l’offre

Les développeurs de Zcash ont finalisé les changements des règles de consensus pour la mise à jour Ironwood, prévue pour la fin du mois de juillet. Cette mise à niveau vise une activation à la hauteur de bloc 3 417 100 afin de corriger une vulnérabilité critique dans le pool blindé (shielded pool) Orchard, laquelle exposait le réseau à une création illimitée de jetons ZEC contrefaits.

🚨UPDATE: Zcash devs finalized the Ironwood upgrade, adding a new Orchard shielded pool to reduce the risk of unlimited counterfeit $ZEC circulating.

ZEC has now recovered +80% from its intraday low of around $252 on June 5. pic.twitter.com/4jGJWXPlIH

— Coin Bureau (@coinbureau) June 9, 2026

L’upgrade introduit un pool blindé de remplacement, renforce les contrôles de l’offre via un mécanisme de « turnstile » (tourniquet) existant, et désactive les nouveaux paiements entrants vers le pool Orchard compromis. Ces mesures s’appuient sur une vérification formelle des circuits de preuve à divulgation nulle de connaissance (zero-knowledge) sous-jacents et sur des audits de sécurité indépendants menés par des tiers.

Le bug du pool Orchard : Ironwood à la rescousse de Zcash

Le pool Orchard a été introduit en mai 2022 lors de la mise à jour NU5, qui a apporté le système de preuve Halo 2 à Zcash, positionnant Orchard comme la couche de confidentialité de nouvelle génération du protocole. Il s’agit d’un environnement protégé utilisant des preuves zero-knowledge pour masquer les montants des transactions et les adresses des participants sans nécessiter de configuration initiale de confiance (trusted setup).

La faille découverte au début de l’année 2026 résidait dans l’intégrité du circuit du protocole Orchard : un attaquant l’exploitant aurait pu émettre des ZEC contrefaits sans laisser de trace on-chain détectable par la vérification normale des nœuds.

Ce bug signifiait que l’offre totale de ZEC appliquée par le consensus n’était pas réellement limitée au sein du pool Orchard. En raison de l’architecture zero-knowledge de Zcash, les propriétés mêmes qui protègent les transactions légitimes des utilisateurs rendent également les émissions non autorisées invisibles pour les observateurs externes et, plus grave encore, pour l’équipe de développement de Zcash elle-même.

Une revue de sécurité assistée par IA, réalisée par des chercheurs externes, a mis en évidence la faille, menant à un correctif discret et à une divulgation coordonnée avant que le projet Ironwood ne soit formellement proposé.

Turnstile, nouveau pool et vérification de l’offre

Ironwood a été proposé conjointement par ZODL, Tachyon, Valar Group, la Zcash Foundation et Shielded Labs, une structure de gouvernance multipartite qui distingue cette réponse d’un simple correctif émanant d’une seule équipe.

Le mécanisme central de la mise à jour est un circuit Orchard repensé incluant un flag capable de désactiver les paiements vers d’autres utilisateurs au sein d’un pool, tout en préservant la capacité de générer des notes de monnaie rendue (change notes), ce que Bowe a décrit comme une sauvegarde de la confidentialité. Une fois activé, ce flag sera activé de façon permanente pour l’ancien pool Orchard, limitant le champ valueBalance et redirigeant automatiquement tous les nouveaux paiements adressés à Orchard vers le pool de remplacement.

Les contrôles de l’offre appliqués par Ironwood reposent sur le mécanisme de « turnstile » préexistant du protocole ; chaque ZEC quittant l’ancien pool Orchard doit passer par ce tourniquet avant d’entrer dans le nouveau pool. Le turnstile garantit que la valeur totale sortant de l’ancien pool ne peut excéder la valeur qui y est entrée de manière vérifiable.

Bowe a déclaré : « Cette combinaison impose une limite à l’offre en circulation de ZEC grâce à l’utilisation du mécanisme de turnstile existant ; la quantité de ZEC avec laquelle n’importe qui peut transiger n’est pas supérieure à la quantité censée exister. »

Une fois la migration terminée, les données on-chain permettront à n’importe quel nœud complet de vérifier indépendamment qu’aucun ZEC contrefait n’a traversé vers le nouveau pool, rétablissant ainsi la vérification trustless de l’offre au niveau du protocole pour la première fois depuis l’introduction de la vulnérabilité.

La cible d’activation coïncide avec la fin du support de zcashd au bloc 3 417 100. Les essais sur le testnet, la coordination de l’écosystème et les audits de sécurité finaux restent à finaliser avant l’activation sur le réseau principal. Les fournisseurs de portefeuilles prenant en charge Orchard devraient proposer des outils de migration en un clic, et le nouveau pool est conçu pour préserver les adresses Orchard existantes, évitant ainsi une rotation de clés perturbatrice pour les utilisateurs actifs.