Claude Code Security Audit Temukan Bug $5 Miliar Zcash
By Ali Sadikin Ma · · Updated
Category: Technology
Satu hari setelah diluncurkan.
Itu yang membuat cerita ini susah dipercaya.
Claude Opus 4.8 rilis tanggal 28 Mei 2026. Keesokan harinya — tepat 29 Mei — Taylor Hornby, seorang security researcher yang baru enam minggu bergabung dengan Shielded Labs, sudah menjalankan Claude Code security audit ke codebase Zcash. Dua puluh empat jam kemudian, dia menemukan sesuatu yang belum pernah ditemukan siapa pun selama empat tahun terakhir.
Bug yang bisa dipakai untuk mencetak ZEC palsu — dalam jumlah tak terbatas — tanpa meninggalkan jejak apa pun di blockchain.
ZEC langsung crash 50,5% dalam 48 jam. Dari $624 ke $309. Miliaran dollar menguap begitu saja (BitMEX Blog, Juni 2026).
Tapi bukan itu yang bikin cerita ini penting.
Yang penting: bagaimana AI menemukan apa yang empat tahun audit manusia tidak bisa.
Dan ada dua pertanyaan yang belum terjawab sejak hari itu. Pertama: kenapa tidak satu pun auditor manusia yang menemukannya duluan? Kedua — yang paling bikin merinding — apakah seseorang sudah diam-diam mengeksploitasi bug itu sebelum ketahuan?
Ini cerita lengkapnya.
Bug yang Tersembunyi di Dalam Zcash Selama 4 Tahun, 1 Hari, dan 10 Jam
Bug Orchard Zcash aktif selama tepat 4 tahun, 1 hari, dan 10 jam — dari aktivasi protokol pada 31 Mei 2022 hingga emergency soft fork 1 Juni 2026. Selama jendela itu, sekitar 5 juta ZEC — sekitar 30% dari total supply yang beredar — tersimpan di pool yang rentan tanpa satu pun audit manusia yang mendeteksinya (Zcash Foundation / Genfinity, 2026; BitMEX Blog, 2026).
Ini yang ada di dalamnya:
Orchard adalah lapisan privasi Zcash yang menggunakan zero-knowledge proof (ZK-proof) — teknologi kriptografi yang memungkinkan seseorang membuktikan bahwa transaksi valid tanpa mengungkapkan detailnya. Sistem ini seharusnya menjadi fondasi kepercayaan untuk seluruh ekosistem Zcash.
Ada bug di dalam circuit ZK-proof itu. Bug yang, jika dieksploitasi, memungkinkan siapa saja mencetak ZEC palsu — dalam jumlah tak terbatas — tanpa meninggalkan tanda tangan on-chain apa pun. Seperti punya mesin cetak uang yang tidak terlihat.
Zooko Wilcox, co-founder Zcash dan kepala Shielded Labs, menyatakan dalam disclosure resmi Juni 2026: “The vulnerability could have been exploited to undetectably create an unlimited amount of counterfeit ZEC within Orchard.”
Dan kenapa tidak ada yang menemukannya selama empat tahun?
Karena ZK-proof circuit bukan kode biasa. Ini adalah konstruksi matematika yang sangat padat — ribuan baris persamaan kriptografi yang hampir tidak mungkin ditelusuri secara manual. Hard fork diperlukan untuk fix-nya karena circuit ZK-proof bersifat immutable by design — tidak bisa di-patch tanpa mengganti seluruh verifying key (Zcash Foundation, 2026).
Empat tahun. Ribuan jam audit manusia. Nol penemuan.
Satu Claude Code security audit. Satu hari.
Satu Kontraktor, Satu AI, Enam Minggu Untuk Menemukan Apa yang Semua Orang Lewatkan
Shielded Labs merekrut Taylor Hornby secara khusus pada April 2026 untuk melakukan protocol security audit — enam minggu sebelum penemuannya. Dia bukan auditor yang iseng pakai AI. Dia membangun zcash-full-stack-auditor: custom agent framework yang menjalankan Claude Opus 4.8 pada effort maksimum, diarahkan langsung ke implementasi halo2 circuit yang digunakan Zcash (CoinDesk / CryptoBriefing, 2026).
Ini yang bikin cerita ini beda dari hype AI biasa:
Taylor Hornby tidak sekadar mengetik “cari bug di Zcash” ke ChatGPT. Dia merancang sistem audit khusus — dengan konteks yang tepat, parameter yang tepat, dan model yang tepat. Claude Opus 4.8 rilis tanggal 28 Mei 2026; Hornby menjalankan auditnya tanggal 29 Mei — tepat satu hari setelah model itu live (CryptoBriefing / BeInCrypto / BitMEX Blog, 2026).
Satu hari setelah rilis.
Bukan setelah berbulan-bulan fine-tuning atau penelitian mendalam. Langsung running di hari pertama — dan langsung menemukan sesuatu yang empat tahun audit tradisional lewatkan.
Trailer moment:
Apa yang ditemukan agent-nya keesokan harinya akan memicu respons darurat selama 50 jam di tiga benua — dan memaksa hard fork kedua dalam sejarah 10 tahun Zcash.
Bagaimana Claude Code Security Audit Menemukan dalam Jam Apa yang 4 Tahun Audit Manusia Tidak Bisa
Taylor Hornby menemukan kerentanan Orchard Zcash menggunakan Claude Code security audit dalam kurang dari 24 jam — melampaui empat tahun review oleh para ahli kriptografi manusia. Claude Opus 4.8 membutuhkan “relatively little guidance” setelah diarahkan ke halo2, lalu menghasilkan working proof-of-concept exploit dalam sekitar 6 jam (CryptoBriefing / CoinDesk, 2026). Ini bukan hanya soal kecepatan — ini soal kategori bug yang secara struktural lolos dari semua metodologi audit manusia.
Charles Guillemet (P3b7_), peneliti keamanan kripto, merangkumnya: “For 4 years, 1 day, and 10 hours, anyone who understood the Orchard circuit could have minted ZEC out of thin air, silently, with no on-chain signature. The bug was disclosed this week. It was found by an AI-driven audit running Opus 4.8, not by an attacker.”
Begini cara kerjanya — tiga langkah yang digunakan Hornby:
1. Bangun Framework Audit yang Tepat, Bukan Prompt Generik
Apa yang dilakukan: Hornby tidak menggunakan Claude Code off-the-shelf. Dia membangun zcash-full-stack-auditor — sebuah custom agent framework yang memberi model akses ke seluruh implementasi halo2 Zcash dengan konteks audit keamanan yang terstruktur.
Caranya: Framework ini menentukan scope audit (halo2 circuit logic), jenis kerentanan yang dicari (constraint violations, soundness bugs), dan output format yang diinginkan. Ini bukan satu prompt panjang — ini sistem iterasi yang membimbing model melalui codebase secara sistematis, section demi section.
Contoh nyatanya: Model diarahkan ke circuit constraint files di halo2, bukan ke seluruh repository Zcash yang jauh lebih besar. Fokus yang tepat ini membuat AI bisa mendeteksi inkonsistensi matematis halus di dalam definisi circuit yang manusia cenderung lewatkan karena keterbatasan perhatian.
Hasilnya: Opus 4.8 menandai double-spend vulnerability dengan “relatively little guidance beyond a few hints” — bukti bahwa framework yang tepat jauh lebih penting dari prompt magic apa pun.
2. Biarkan AI Traverse Circuit Tanpa Asumsi Awal
Apa yang dilakukan: Tidak seperti auditor manusia yang membawa bias dari review sebelumnya, Claude Opus 4.8 menelusuri setiap constraint dari circuit ZK-proof dari awal — tanpa asumsi “ini pasti aman karena sudah diaudit sebelumnya.”
Caranya: Model menganalisis setiap constraint secara independen, memeriksa konsistensi antar-constraint, dan menandai area di mana asumsi keamanan tidak terbukti secara matematis di dalam circuit definition. Tanpa rasa bosan. Tanpa kelelahan. Tanpa kecenderungan untuk skip bagian yang kelihatan “sudah oke.”
Contoh nyatanya: Anthropic researcher Nicholas Carlini menggunakan pendekatan serupa untuk menemukan heap buffer overflow di Linux kernel's NFS driver yang tersembunyi selama 23 tahun — ada di sana sejak 2003. Setelah Carlini mulai menggunakan Claude Code, volume laporan ke Linux kernel security mailing list meningkat dari 2-3 per minggu menjadi 5-10 per hari (Greg Kroah-Hartman, Linux kernel maintainer, dikutip InfoQ, 2026).
Hasilnya: Kerentanan yang tidak terlihat oleh ribuan mata ahli manusia selama 4 tahun — terdeteksi dalam satu sesi Claude Code security audit.
3. Validasi dengan PoC Exploit di Isolated Environment
Apa yang dilakukan: Setelah AI mengidentifikasi kerentanan, Hornby tidak langsung lapor. Dia memvalidasi temuan dengan membuat working proof-of-concept — code yang benar-benar bisa mencetak ZEC palsu di test environment lokal.
Caranya: Menggunakan Claude Code untuk membantu menulis exploit code di environment terisolasi — tidak ada koneksi ke mainnet Zcash, tidak ada risiko kerusakan nyata, tapi bukti konkret bahwa bug bisa dieksploitasi. Bukan spekulasi teoritis.
Hasilnya: Working PoC dalam sekitar 6 jam (CoinDesk / CryptoBriefing / BitMEX Blog, 2026). Itu yang dipakai untuk responsible disclosure ke Shielded Labs — dan memicu 50 jam respons darurat yang mengubah sejarah Zcash.
Guncangan Pasar: Apa yang Terjadi Setelah Penemuan
Dalam 48 jam setelah disclosure publik tanggal 5 Juni 2026, ZEC turun 50,5% dari $624 ke $309 — dengan volume trading melonjak 68% di atas rata-rata 30 hari. Zcash Foundation mengonfirmasi tidak ada unauthorized value creation selama jendela kerentanan, tapi sifat privasi Orchard membuat verifikasi kriptografis bahwa eksploitasi tidak terjadi adalah mustahil secara matematis (BitMEX Blog, 2026; Shielded Labs official statement, 2026).
Tapi pasar tidak nunggu verifikasi kriptografis.
Tanggal 4 Juni 2026 — sehari sebelum disclosure publik — Arthur Hayes, co-founder BitMEX, melikuidasi seluruh posisi ZEC-nya. Itu adalah holding terbesar kedua di family fund-nya. Alasannya satu prinsip sederhana: privacy narratives require “perfection, not probably fine” (BitMEX Blog, Juni 2026).
Efek domino:
Saat Hornby mengumumkan dia akan menambahkan Monero ke antrian Claude Code security audit-nya, XMR turun 10% hanya dari pengumuman itu saja — tanpa ada bug yang ditemukan, tanpa disclosure apa pun. Hanya dari kemungkinan bahwa AI akan memeriksa codebase mereka berikutnya (CoinDesk / BeInCrypto, 2026).
Respons darurat berlangsung tepat 5 hari — 29 Mei hingga 3 Juni. Ini hanya upgrade keamanan kedua yang dipicu oleh krisis dalam sejarah 10 tahun Zcash (Zcash Foundation / CryptoTimes, 2026). Josh Swihart, CEO Zcash Open Development Lab, mendeskripsikan momen mulainya di X: “At exactly 10 am Eastern Time last Saturday, I received a Signal call from Daira-Emma.”
Lima hari. Tiga benua. Satu hard fork.
Dan pertanyaan paling menakutkan tetap tanpa jawaban: apakah seseorang sudah mengeksploitasi bug itu selama jendela 4 tahun itu? Tidak ada yang bisa tahu — dan ketidakpastian itu sendiri sudah cukup untuk menghancurkan kepercayaan.
Ini Bukan Kebetulan: AI Sudah Menemukan Bug yang Lolos dari Semua Audit Manusia
Claude Code security audit bukan kasus terisolasi. Project Glasswing milik Anthropic, diluncurkan 7 April 2026 bersama 12 mitra besar termasuk AWS, Apple, Google, Microsoft, Nvidia, Cisco, dan CrowdStrike dengan $100 juta kredit penggunaan, menemukan kerentanan berusia 27 tahun di OpenBSD dan 16 tahun di FFmpeg yang bertahan dari 5 juta iterasi automated fuzzing tanpa terdeteksi. BountyBench (Stanford/Berkeley) menunjukkan AI mencapai 67,5% pada exploit tasks di 40 bug bounty nyata senilai lebih dari $14.000 (Anthropic Glasswing, 2026; arxiv 2505.15216, 2025).
Lima juta iterasi fuzzing. Tidak menemukan apa-apa. AI menemukannya.
Anthropic menyebutnya langsung di announcement Glasswing: “AI models have reached a level of coding capability where they can surpass all but the most skilled humans at finding vulnerabilities — and rather than restricting that capability, the approach must be defensive deployment.”
Tapi ada sisi yang tidak nyaman dari gambaran ini:
AI juga menghasilkan lebih banyak kerentanan dari sebelumnya. Analisis Apiiro terhadap puluhan ribu repository di Fortune 50 enterprises (Desember 2024 – Juni 2025) menemukan bahwa developer yang dibantu AI menghasilkan commit dengan kecepatan 3-4x, tapi memperkenalkan security findings pada kecepatan 10x (CSA AI Safety Initiative, 2026).
Kapabilitas yang sama yang menemukan bug juga bisa menciptakannya. Dan bisa dijadikan senjata.
Itulah kenapa pertanyaannya bukan lagi “haruskah kita pakai AI untuk keamanan?” Pertanyaannya: siapa yang menggunakan AI terlebih dahulu — defender atau attacker?
Ingat — semua ini terjadi satu hari setelah model diluncurkan.
Kode apa di stack kamu yang sudah menyembunyikan sesuatu yang serupa selama bertahun-tahun?
FAQ: Bug Kripto, AI Security, dan Apa yang Terjadi Berikutnya
Apakah jenis kerentanan yang ditemukan AI ini bisa terjadi pada privacy coin lain?
Ya — dan ini sudah terjadi. Taylor Hornby mengumumkan akan menambahkan Monero ke antrian auditnya setelah temuan Zcash, dan XMR turun 10% hanya dari pengumuman itu. ZK-proof circuit di semua protokol privasi berbagi kesenjangan audit struktural yang sama yang kini bisa diprobe secara sistematis oleh Claude Code security audit (CoinDesk, 2026).
Apakah Claude Code benar-benar mengerti zero-knowledge proof circuit?
Tidak harus. Claude Opus 4.8 tidak memerlukan keahlian ZK yang dalam — ia memerlukan framework yang tepat dan prompt yang terarah. Zcash-full-stack-auditor memberinya struktur; kemampuan code reasoning model melakukan sisanya. Hornby menyebut model hanya butuh “relatively little guidance” setelah diarahkan ke halo2 (CryptoBriefing, 2026).
Apa risiko AI digunakan untuk menyerang, bukan mempertahankan sistem?
Risiko ini nyata dan sudah diakui. Anthropic mengatasinya langsung lewat Project Glasswing: “rather than restricting that capability, the approach must be defensive deployment.” Kapabilitas Claude Code security audit yang sama bisa dijadikan senjata — itulah kenapa deployment defensif harus bergerak lebih cepat dari use case ofensif (Anthropic, 2026).
Coba Sendiri: Mulai Audit Keamanan AI Pertamamu
Cerita Zcash adalah bukti nyata: AI-assisted security audit bukan masa depan — ini sekarang. Satu orang, satu custom agent, dan 24 jam sudah cukup untuk menemukan bug yang empat tahun audit tradisional lewatkan.
Mulai langsung: Kunjungi claude.ai/code dan jalankan Claude Code security audit pertamamu. Bangun framework audit yang terarah seperti yang dilakukan Hornby — dan lihat apa yang tersembunyi di codebase kamu.
Belum siap? Simpan artikel ini sebelum security architecture review berikutnya. Benchmark untuk AI-assisted auditing sudah ditetapkan — dan dia menemukan bug berusia 4 tahun dalam 24 jam.