{"id":2815,"date":"2026-06-05T14:05:53","date_gmt":"2026-06-05T14:05:53","guid":{"rendered":"https:\/\/news.bitcoinlive24.com\/zcash-orchard-bug-bitcoin-approccio-conservativo\/"},"modified":"2026-06-05T14:05:53","modified_gmt":"2026-06-05T14:05:53","slug":"zcash-orchard-bug-bitcoin-approccio-conservativo","status":"publish","type":"post","link":"https:\/\/bitcoinlive24.com\/news\/zcash-orchard-bug-bitcoin-approccio-conservativo\/","title":{"rendered":"Il Bug Invisibile: Come Tre Persone Congelarono Zcash in Segreto"},"content":{"rendered":"<p class=\"wp-block-paragraph\">Per quattro anni, nessuno se n&#8217;\u00e8 accorto. Un errore matematico invisibile si nascondeva nel cuore del pool di privacy pi\u00f9 avanzato di Zcash, capace di generare monete dal nulla senza lasciare tracce verificabili dall&#8217;esterno. Quando i ricercatori lo hanno scoperto, tre sviluppatori hanno preso una decisione silenziosa: non dire nulla agli utenti, e congelare miliardi di dollari in fondi nel giro di poche ore.<\/p>\n\n<p class=\"wp-block-paragraph\">\u00c8 il 5 giugno 2026. La storia che emerge da questa crisi \u2014 e il contrasto con come funziona Bitcoin \u2014 racconta qualcosa di fondamentale sul perch\u00e9 la semplicit\u00e0 conservativa vale pi\u00f9 dell&#8217;innovazione a tutti i costi.<\/p>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-transparent ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Table of Contents<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/bitcoinlive24.com\/news\/zcash-orchard-bug-bitcoin-approccio-conservativo\/#Il_Bug_che_Nessuno_Poteva_Vedere\" >Il Bug che Nessuno Poteva Vedere<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/bitcoinlive24.com\/news\/zcash-orchard-bug-bitcoin-approccio-conservativo\/#La_Decisione_Silenziosa_di_Tre_Persone\" >La Decisione Silenziosa di Tre Persone<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/bitcoinlive24.com\/news\/zcash-orchard-bug-bitcoin-approccio-conservativo\/#Il_Giorno_dei_Conti\" >Il Giorno dei Conti<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/bitcoinlive24.com\/news\/zcash-orchard-bug-bitcoin-approccio-conservativo\/#Il_Paradosso_della_Privacy\" >Il Paradosso della Privacy<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/bitcoinlive24.com\/news\/zcash-orchard-bug-bitcoin-approccio-conservativo\/#Cosa_Ci_Insegna_Questa_Storia\" >Cosa Ci Insegna Questa Storia<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/bitcoinlive24.com\/news\/zcash-orchard-bug-bitcoin-approccio-conservativo\/#Il_Quadro_Piu_Ampio_Bitcoin_vs_Privacy_Coin\" >Il Quadro Pi\u00f9 Ampio: Bitcoin vs Privacy Coin<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/bitcoinlive24.com\/news\/zcash-orchard-bug-bitcoin-approccio-conservativo\/#Domande_Frequenti\" >Domande Frequenti<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Il_Bug_che_Nessuno_Poteva_Vedere\"><\/span>Il Bug che Nessuno Poteva Vedere<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">Il team di sviluppo di Zcash ha pubblicato quello che chiama eufemisticamente un <strong>&#8220;soundness bug&#8221;<\/strong> nel pool Orchard, la sua tecnologia di privacy pi\u00f9 recente. La realt\u00e0 \u00e8 pi\u00f9 cruda: si trattava di una vulnerabilit\u00e0 di inflazione infinita <em>non rilevabile<\/em>, attiva dal 2022, che permetteva di coniare ZEC invisibile all&#8217;interno del pool senza che nessuna verifica esterna potesse rilevarlo.<\/p>\n\n<p class=\"wp-block-paragraph\">Il meccanismo di Zcash funziona come un tornello. Se entrano 100 ZEC nel pool di privacy Orchard, solo 100 ZEC possono uscire \u2014 almeno in teoria. Ma con questa vulnerabilit\u00e0, un attore malevolo avrebbe potuto generare ZEC addizionale invisibile all&#8217;interno del pool, prelevarlo per primo e lasciare gli altri utenti impossibilitati a uscire. Un classico meccanismo di corsa agli sportelli, amplificato dall&#8217;opacit\u00e0 della privacy stessa.<\/p>\n\n<p class=\"wp-block-paragraph\">La domanda pi\u00f9 inquietante rimane senza risposta: la vulnerabilit\u00e0 \u00e8 stata sfruttata nel corso dei quattro anni in cui era attiva? Non esiste modo di saperlo con certezza. Il pool era privato per design.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"La_Decisione_Silenziosa_di_Tre_Persone\"><\/span>La Decisione Silenziosa di Tre Persone<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">Quando la vulnerabilit\u00e0 \u00e8 emersa, il team non ha fatto un annuncio pubblico. Non ha aperto un dibattito nella community. Ha contattato direttamente i tre mining pool che controllano il consenso di Zcash e ha coordinato un <em>soft fork<\/em> silenzioso per bloccare l&#8217;accesso al pool Orchard prima che la notizia circolasse.<\/p>\n\n<p class=\"wp-block-paragraph\">Come ha documentato <a href=\"https:\/\/x.com\/zodl_co\" rel=\"nofollow\" target=\"_blank\">Zodl<\/a> nel suo post-mortem, tre attori privati hanno congelato l&#8217;accesso a miliardi di dollari in fondi degli utenti senza discussione pubblica, senza preavviso, e con una semplicit\u00e0 sconcertante. Poi \u00e8 arrivato un <em>hard fork<\/em> forzato per implementare la correzione tecnica.<\/p>\n\n<p class=\"wp-block-paragraph\">C&#8217;era un&#8217;aggravante importante: il wallet ufficiale di Zcash, Zashi (ex Zodl), indirizzava automaticamente tutti i nuovi utenti nel pool Orchard \u2014 lo stesso pool compromesso. Quando il team diceva che &#8220;Zcash trasparente era al sicuro&#8221;, stava descrivendo una funzionalit\u00e0 che la maggior parte degli utenti non stava usando, perch\u00e9 il software li aveva guidati altrove.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Il_Giorno_dei_Conti\"><\/span>Il Giorno dei Conti<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">Le conseguenze pratiche furono immediate. Wallet di terze parti come Cake Wallet rimasero inutilizzabili per giorni interi dopo il hard fork. Gli utenti non riuscivano a spostare i propri ZEC. I servizi di swap erano offline.<\/p>\n\n<p class=\"wp-block-paragraph\">Il prezzo di ZEC non \u00e8 crollato immediatamente dopo la notizia \u2014 non perch\u00e9 il mercato non capisse la gravit\u00e0, ma perch\u00e9 le persone non riuscivano letteralmente a vendere. L&#8217;infrastruttura era congelata. Il crollo era stato ritardato, non prevenuto.<\/p>\n\n<p class=\"wp-block-paragraph\">Quando i wallet sono tornati online, il mercato ha recuperato il tempo perduto in poche ore: <strong>ZEC ha perso circa il 40%<\/strong> del proprio valore mentre i venditori potevano finalmente accedere ai fondi. Chi aveva sfruttato la vulnerabilit\u00e0 \u2014 se qualcuno lo aveva fatto \u2014 aveva avuto tutto il tempo di uscire. Chi aveva aspettato notizie ufficiali \u00e8 rimasto con il conto bloccato.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Il_Paradosso_della_Privacy\"><\/span>Il Paradosso della Privacy<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">Pochi giorni prima di questa notizia, come avevamo <a href=\"https:\/\/bitcoinlive24.com\/news\/samourai-wallet-prigione-doj-bitcoin\/\" rel=\"nofollow\">raccontato su BitcoinLive24<\/a>, gli sviluppatori di Samourai Wallet si erano visti condannare a cinque anni di prigione dal Dipartimento di Giustizia americano. La loro colpa: aver costruito uno strumento di privacy per Bitcoin. Gli sviluppatori di Tornado Cash sono in prigione per lo stesso motivo.<\/p>\n\n<p class=\"wp-block-paragraph\">Zcash ha un team finanziato da venture capital, con sede negli USA, che ha coordinato tranquillamente una fork d&#8217;emergenza capace di congelare i fondi di tutti gli utenti \u2014 senza alcuna conseguenza legale, senza preavviso, senza dibattito. Come ha osservato <a href=\"https:\/\/x.com\/peterktodd\" rel=\"nofollow\" target=\"_blank\">Peter Todd<\/a>, uno dei principali contributori al protocollo Bitcoin, questo episodio convalida ogni preoccupazione che la comunit\u00e0 Bitcoin aveva sollevato riguardo all&#8217;implementazione di ZK-proof a livello di protocollo monetario.<\/p>\n\n<p class=\"wp-block-paragraph\">La struttura di governance di Zcash ha dimostrato qualcosa di importante: se tre sviluppatori possono congelare l&#8217;accesso ai fondi degli utenti coordinandosi con tre mining pool, lo stesso meccanismo esiste per chiunque lo volesse usare \u2014 incluso un governo.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Cosa_Ci_Insegna_Questa_Storia\"><\/span>Cosa Ci Insegna Questa Storia<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">La nuova crittografia porta con s\u00e9 rischi che non si possono prevedere completamente. Ogni primitiva crittografica aggiunta a un protocollo monetario introduce casi limite impossibili da anticipare \u2014 anche con revisioni approfondite. La vulnerabilit\u00e0 di Zcash esisteva in un sistema che aveva superato anni di audit.<\/p>\n\n<p class=\"wp-block-paragraph\">Bitcoin ha scelto la strada opposta: aggiunge funzionalit\u00e0 complesse solo dopo periodi prolungati di test, revisione pubblica e consenso distribuito. Taproot, l&#8217;aggiornamento pi\u00f9 recente che ha migliorato la privacy e la programmabilit\u00e0 di Bitcoin, \u00e8 stato discusso per quasi tre anni prima dell&#8217;attivazione nel novembre 2021. Come abbiamo analizzato nell&#8217;approfondimento di BitcoinLive24 su <a href=\"https:\/\/bitcoinlive24.com\/news\/bitcoin-post-quantum-bip-360-migrazione-2029\/\">BIP-360 e la resistenza quantistica<\/a>, anche aggiornamenti critici per la sicurezza richiedono anni di pianificazione, migrazione graduale e consenso della rete.<\/p>\n\n<p class=\"wp-block-paragraph\">Un bug di inflazione non rilevabile in un sistema monetario non \u00e8 un incidente tecnico \u2014 \u00e8 una violazione del contratto fondamentale con gli utenti. La protezione del limite dei 21 milioni di Bitcoin viene prima di qualsiasi funzionalit\u00e0 di privacy. La privacy in Bitcoin si costruisce sopra questa garanzia, non al posto di essa: CoinJoin, Silent Payments, Lightning Network, Ark, e-cash Cashu. Tecnologie che aggiungono riservatezza senza toccare il nucleo monetario del protocollo.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Il_Quadro_Piu_Ampio_Bitcoin_vs_Privacy_Coin\"><\/span>Il Quadro Pi\u00f9 Ampio: Bitcoin vs Privacy Coin<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<p class=\"wp-block-paragraph\">L&#8217;incidente di Zcash cristallizza le differenze fondamentali nell&#8217;approccio tra Bitcoin e i sistemi che promettono privacy nativa. La tabella seguente mostra i punti chiave:<\/p>\n\n<figure class=\"wp-block-table\"><div style=\"overflow-x:auto\"><table>\n  <thead>\n    <tr>\n      <th>Caratteristica<\/th>\n      <th>Bitcoin<\/th>\n      <th>Zcash (Orchard)<\/th>\n    <\/tr>\n  <\/thead>\n  <tbody>\n    <tr>\n      <td>Supply verificabile<\/td>\n      <td>S\u00ec \u2014 chiunque pu\u00f2 contare i BTC in circolazione<\/td>\n      <td>No \u2014 il pool privato \u00e8 opaco per design<\/td>\n    <\/tr>\n    <tr>\n      <td>Aggiornamenti del protocollo<\/td>\n      <td>Anni di discussione pubblica e consenso distribuito<\/td>\n      <td>Coordinamento privato tra 3 sviluppatori e 3 mining pool<\/td>\n    <\/tr>\n    <tr>\n      <td>Congelamento fondi<\/td>\n      <td>Impossibile \u2014 nessun gruppo pu\u00f2 bloccare i fondi altrui<\/td>\n      <td>Dimostrato possibile \u2014 accaduto il 5 giugno 2026<\/td>\n    <\/tr>\n    <tr>\n      <td>Privacy<\/td>\n      <td>Opzionale, costruita sopra il protocollo base<\/td>\n      <td>Integrata nel protocollo, ma con rischi sistemici<\/td>\n    <\/tr>\n    <tr>\n      <td>Resilienza alle falle<\/td>\n      <td>Bug noti possono essere corretti senza congelare fondi<\/td>\n      <td>Bug nel pool privato richiedono azioni d&#8217;emergenza centralizzate<\/td>\n    <\/tr>\n  <\/tbody>\n<\/table><\/div><\/figure>\n\n<p class=\"wp-block-paragraph\">Un ulteriore dettaglio emerso dal post-mortem: uno strumento di intelligenza artificiale ha contribuito a scoprire la vulnerabilit\u00e0 \u2014 la stessa tipologia di tecnologia che potrebbe trovare vulnerabilit\u00e0 simili altrove. Chi difende i protocolli ha accesso agli stessi strumenti di chi attacca. Bitcoin ha retto. Ma non bisogna mai abbassare la guardia.<\/p>\n\n<p class=\"wp-block-paragraph\">Segui BitcoinLive24 per aggiornamenti in tempo reale su Bitcoin: <a href=\"https:\/\/bitcoinlive24.com\">scarica l&#8217;app<\/a> e ricevi notifiche push istantanee quando accadono notizie come questa.<\/p>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Domande_Frequenti\"><\/span>Domande Frequenti<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n<dl>\n  <dt><strong>Cos&#8217;era il bug Orchard di Zcash?<\/strong><\/dt>\n  <dd>Era una vulnerabilit\u00e0 di inflazione infinita non rilevabile nel pool di privacy Orchard di Zcash, attiva dal 2022 e scoperta nel giugno 2026. Il bug permetteva di generare ZEC aggiuntivi all&#8217;interno del pool di privacy senza che le verifiche esterne potessero rilevarlo, creando il rischio di una corsa agli sportelli non tracciabile.<\/dd>\n\n  <dt><strong>Come ha risposto il team di Zcash?<\/strong><\/dt>\n  <dd>Tre sviluppatori hanno coordinato silenziosamente un soft fork con i tre principali mining pool di Zcash, congelando l&#8217;accesso al pool Orchard senza annuncio pubblico. Successivamente hanno implementato un hard fork correttivo, causando giorni di disservizi per i wallet di terze parti. ZEC ha perso circa il 40% quando i wallet sono tornati online.<\/dd>\n\n  <dt><strong>Perch\u00e9 questo episodio \u00e8 rilevante per Bitcoin?<\/strong><\/dt>\n  <dd>L&#8217;incidente conferma l&#8217;approccio conservativo di Bitcoin all&#8217;aggiornamento del protocollo. Dimostra che le primitive crittografiche avanzate come i ZK-proof possono nascondere vulnerabilit\u00e0 di inflazione invisibili per anni, e che una governance centralizzata \u2014 anche se tecnicamente competente \u2014 pu\u00f2 congelare i fondi degli utenti senza consenso. Bitcoin garantisce che nessun gruppo di tre persone possa mai farlo.<\/dd>\n<\/dl>","protected":false},"excerpt":{"rendered":"<p>Per quattro anni, nessuno se n&#8217;\u00e8 accorto. Un errore matematico invisibile si nascondeva nel cuore del pool di privacy pi\u00f9 avanzato di Zcash, capace di&#8230;<\/p>\n","protected":false},"author":2,"featured_media":2701,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[612],"tags":[],"class_list":["post-2815","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-storytelling"],"_links":{"self":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/posts\/2815","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/comments?post=2815"}],"version-history":[{"count":0,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/posts\/2815\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/media\/2701"}],"wp:attachment":[{"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/media?parent=2815"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/categories?post=2815"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bitcoinlive24.com\/news\/wp-json\/wp\/v2\/tags?post=2815"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}