2022年5月から2026年6月初旬のパッチ配布まで、4年間にわたってZcashのOrchard Poolに欠陥が潜んでいた。ZECが盗まれた形跡は一切ない。それでもトークンは48時間で時価の約半分を失い、Arthur Hayesは全ポジションを清算して自身の「Holy Trinity」戦略の終わりを宣言した。
セキュリティ・インシデント・レポート
セキュリティ・インシデント・レポート
プロトコル
Zcash(Orchardシールドプール)
流出額
$0(確認済)
種別
Soundness欠陥、供給量検証不可
開示日
2026年6月4日〜5日
攻撃ベクター
Orchardサーキット内の制約不足により、正規トークンと区別のつかない偽造ZECの鋳造が可能だった。2022年5月のNU5以降に存在し、複数の監査を通過していた。
プロトコルの対応
緊急ハードフォーク NU6.2 を2026年6月3日に適用。月初のパッチ配布後に実施。盗難は確認されていない。
出所: Shielded Labs 公式開示
出所: Shielded Labs 公式開示
AI監査が4年間見逃されたバグを発見した経緯
欠陥を発見したのは、Shielded Labsが2026年4月にプロトコル審査のために採用したセキュリティエンジニアのTaylor Hornbyだ。発見日は2026年5月29日。使用したのは、Anthropicのモデル「Claude Opus 4.8」を中心に構築されたAI支援監査フレームワークで、前日にリリースされたばかりのツールだった。Orchardサーキット内の制約が欠落しており、プール内部での二重支払い、つまり正規トークンと見分けのつかない偽トークンの生成が理論上可能だった。3年半以上、人間の監査者は誰一人この問題を検出できなかった。
これは些細な事実ではない。AIエージェント時代のDeFiセキュリティに関する分析で指摘したパラダイムシフトの実証だ。攻撃を加速させるのと同じモデルが、従来の監査が見落とす脆弱性を今や発見している。Shielded Labsの公式開示によれば、このバグは事後的に悪用を証明することが不可能な性質を持つとされた。
Orchardバグ後、保有ZECは安全か
正直に答えるなら、リスクはチェーン全体のインフレではなく、プールの支払い不能だ。CoinGeckoのデータによると、流通ZECの約30%、およそ500万枚がシールドアドレスに存在し、その大部分がOrchardを経由している。偽トークンが鋳造されていた場合、正規の保有者が希薄化される。GrayscaleのCLOであるCraig Salmは、パッチ適用前の悪用は考えにくいとの見解を示している。しかし本質的な問題は別にある。BitcoinやEthereumではオンチェーン上でエクスプロイトが可視化されるが、Zcashの場合、成功した攻撃は一切の痕跡を残さない可能性がある。永遠に。資産をカストディで管理している投資家にとって、ホットウォレットとコールドウォレットの違いとハードウェアウォレットの重要性が改めて問われる。最初の防衛線は自分自身だ。
Arkhamのデータによれば、ある大口投資家が1億7,400万ドルのポジションから半分以上を失った。「6ヶ月間ZECを売っていなかった」。痛手は大きい。
プライバシーコイン全体の急落が示すもの
価格の推移は2段階で起きた。ハードフォーク後、ZECは6月4日に624ドルまで反発していた。その後Hayesの売却が伝わり、連鎖的な売りで310ドルを割り込んだ。BitMEX創設者でMaelstromのCIOでもあるHayesは、2026年6月5日のXへの投稿でこう説明している。ZEC、HYPE、NEARを並べた非対称ベット「Holy Trinity」が崩れた。「AIと政府とビッグテックに対抗するプライバシーには完璧さが求められる」と彼は書いた。@CryptoHayesの2026年6月5日投稿を参照。
ZEC価格推移(直近、米ドル)
ZEC価格推移・直近(米ドル)
出所: CoinGecko、BitMEX Research・2026年6月5日
出所: CoinGecko、BitMEX Research・2026年6月5日
プライバシーのナラティブは2025年を通じて最も注目されたテーマだった。プライバシークリプトに集まった10億ドルを分析した際に見た通りだ。ところが今、ZECに価値を与えてきたその不透明性が逆に牙を剥いた。Moneroをはじめとするすべてのアノニマスコインに共通する問題だ。供給量の健全性を証明できなければ、信頼するしかない。市場はいま、その信頼を容易に与えない。セクターの信頼に対する打撃は今回が初めてではない。2026年の仮想通貨ハッキング調査で記録された損失の規模や、Kelp DAOの2億9,200万ドル事件が示す通りだ。
一つのデータが全体像を際立たせる。ZECはCoinGeckoのデータで2025年末に約+691%を記録し、プライバシーコインの中で最高パフォーマンスを示した。11月7日に744ドルのピークをつけた。その高値で買い参入した投資家は今、310ドルを下回るチャートを眺めている。次に待つべき確認はプライス面ではなく技術的なものだ。Orchardが実際に悪用されたかどうか、開発チームはまだ答えを出していない。その答えが出るまで、40%の損失はプライバシーコインが絶対に抱えてはならないものをマーケットが値付けした結果だ。疑念そのものだ。
