Vier Jahre. So lange blieb ein Fehler im Orchard Pool von Zcash verborgen, vom Mai 2022 bis zum Fix, der Anfang Juni 2026 verteilt wurde. Kein einziger ZEC wurde gestohlen. Trotzdem verlor der Token innerhalb von 48 Stunden fast die Hälfte seines Wertes, und Arthur Hayes liquidierte seine gesamte Position, nachdem er seine „Holy Trinity“ für gescheitert erklärt hatte.
Security Incident Report
Security Incident Report
Protokoll
Zcash (Orchard Shielded Pool)
Gestohlener Betrag
$0 bestätigt
Typ
Soundness-Fehler, nicht verifizierbares Supply
Disclosure
4.-5. Juni 2026
Angriffsvektor
Eine unzureichende Beschränkung im Orchard-Schaltkreis hätte das Prägen gefälschter ZEC ohne Rückstände ermöglicht. Vorhanden seit NU5 im Mai 2022, von mehreren Audits übersehen.
Reaktion des Protokolls
Notfall-Hard-Fork NU6.2 aktiviert am 3. Juni 2026, nach dem Fix Anfang des Monats. Kein Diebstahl festgestellt.
Quelle: Shielded Labs, offizielle Disclosure
Quelle: Shielded Labs, offizielle Disclosure
Wie ein KI-Audit den Bug fand, den Experten vier Jahre übersahen
Den Fehler entdeckte Taylor Hornby, ein Sicherheitsingenieur, den Shielded Labs im April für eine Protokollüberprüfung eingestellt hatte. Datum der Entdeckung: 29. Mai 2026. Das Werkzeug war ein KI-gestütztes Audit-Framework, das auf dem Modell Claude Opus 4.8 von Anthropic basierte, das tags zuvor veröffentlicht worden war. Eine fehlende Beschränkung im Orchard-Schaltkreis hätte eine interne Doppelausgabe im Pool ermöglicht, das heißt die Erstellung gefälschter Token, die von legitimen nicht zu unterscheiden wären. Über dreieinhalb Jahre hatte kein menschlicher Prüfer dies bemerkt.
Das ist kein unwichtiges Detail. Es bestätigt einen Paradigmenwechsel, den wir bereits bei der Analyse der DeFi-Sicherheit im Zeitalter von KI-Agenten beschrieben haben: Dieselben Modelle, die Angriffe beschleunigen, finden heute Schwachstellen, die traditionelle Audits übersehen. Shielded Labs veröffentlichte die Disclosure mit dem Hinweis, dass der Bug im Nachhinein nicht nachweisbar gewesen wäre.
Sind meine ZEC nach dem Orchard-Bug sicher?
Eine ehrliche Antwort: Das Risiko ist nicht eine Inflation der gesamten Chain, sondern die mögliche Insolvenz des Pools. Laut der offiziellen Disclosure von Shielded Labs lebt rund 30 Prozent der umlaufenden ZEC, etwa 5 Millionen Coins, in Shielded-Adressen, und der Großteil läuft über Orchard. Hätte jemand gefälschte Token geprägt, würden legitime Inhaber verwässert. Craig Salm, Chief Legal Officer von Grayscale, hält eine Ausnutzung vor dem Patch für unwahrscheinlich. Der entscheidende Punkt bleibt ein anderer: Anders als bei Bitcoin oder Ethereum, wo ein Exploit on-chain sichtbar ist, könnte ein erfolgreicher Angriff hier keinerlei Spuren hinterlassen. Niemals. Für Anleger, die Assets in Verwahrung halten, gilt die bekannte Lektion über den Unterschied zwischen Hot- und Cold-Wallets und ein gutes Hardware-Wallet: Die erste Verteidigungslinie beginnt bei dir selbst.
Arkham hat den Schaden dokumentiert: Ein einzelner Großinvestor verlor laut Arkham-Daten mehr als die Hälfte einer Position von 174 Millionen Dollar. Er hatte ZEC seit sechs Monaten nicht verkauft.
Was der Einbruch aller Privacy Coins aussagt
Der Kursverlauf zeigt zwei Wellen. Nach dem Hard Fork war ZEC am 4. Juni auf 624 Dollar gestiegen. Dann verkaufte Hayes, und eine Verkaufskaskade zog den Kurs unter 310 Dollar. Der Gründer von BitMEX und CIO von Maelstrom erläuterte den Schritt in einem Beitrag auf X: Seine „Holy Trinity“ asymmetrischer Wetten, ZEC neben HYPE und NEAR, war gebrochen. „Privacy gegen KI, Regierungen und Big Tech verlangt Perfektion“, schrieb er laut @CryptoHayes, Beitrag vom 5. Juni 2026.
ZEC-Kurs, letzte Handelssitzungen (USD)
ZEC-Kurs, letzte Handelssitzungen (USD)
Quelle: CoinGecko, BitMEX Research, 5. Juni 2026
Quelle: CoinGecko, BitMEX Research, 5. Juni 2026
Die Privacy-Narrativa war 2025 besonders stark, wie wir beim Bericht über die Milliarde, die in Krypto-Privacy geflossen ist, beschrieben haben. Nun wendet sich genau die Eigenschaft, die ZEC seinen Wert verleiht, gegen ihn. Das gilt für Monero und jeden Token, der vollständige Anonymität verspricht: Wer nicht beweisen kann, dass das Supply integer ist, muss auf Vertrauen setzen. Und Vertrauen ist derzeit knapp. Das ist nicht der erste Vertrauensverlust im Sektor: Man denke an das Gewicht der dokumentierten Angriffe in der Analyse der Hacks von 2026 oder den Fall Kelp DAO mit 292 Millionen Dollar.
Ein abschließendes Datum setzt alles in den richtigen Rahmen. ZEC hatte 2025 mit einem Plus von rund 691 Prozent abgeschlossen, laut CoinGecko-Daten die stärkste Privacy Coin des Jahres, mit einem Höchstkurs von 744 Dollar am 7. November. Wer zu diesen Höchstständen eingestiegen ist, schaut heute auf einen Kurs unter 310 Dollar. Die nächste entscheidende Bestätigung ist keine Kursfrage, sondern eine technische: Die Entwickler müssen erklären, ob der Orchard-Pool jemals tatsächlich ausgenutzt wurde. Solange diese Antwort aussteht, spiegelt das verbrannte 40-Prozent-Minus genau das wider, was sich eine Privacy Coin nicht leisten kann. Den Zweifel.
