Por Hannah Pérez  

Zcash enfrenta una de las mayores crisis de confianza de su historia reciente después de que investigadores revelaran una vulnerabilidad crítica en su pool privado Orchard que habría permitido crear cantidades “ilimitadas” de ZEC falsificados de forma indetectable dentro del sistema. Aunque la falla fue corregida pocos días después de su descubrimiento y los investigadores consideran improbable que haya sido explotada, el diseño de privacidad de Zcash impide demostrar criptográficamente que nunca se usó.

***

  • Una vulnerabilidad crítica en el circuito Orchard de Zcash habría permitido acuñar ZEC falsos “ilimitados” dentro del pool privado.
  • La falla existía desde mayo de 2022, fue descubierta el 29 de mayo de 2026 con Claude Opus 4.8 y corregida mediante soft fork el 1 de junio.
  • ZEC llegó a desplomarse más de 50%, con liquidaciones superiores a USD $116 millones, según datos de CoinGlass.

 

 

Zcash (ZEC) quedó bajo fuerte presión de mercado después de que investigadores revelaran una vulnerabilidad crítica que habría permitido crear una cantidad “ilimitada” de ZEC falsificados dentro de su pool privado Orchard, uno de los componentes centrales del protocolo de privacidad.

La falla fue divulgada públicamente por Shielded Labs, una organización independiente de apoyo al ecosistema Zcash, junto con el cofundador de Zcash Zooko Wilcox y los investigadores Jason McGee y Taylor Hornby.

Según la publicación, Hornby descubrió la vulnerabilidad el 29 de mayo, pocas horas después del lanzamiento del modelo Claude Opus 4.8 de Anthropic, utilizando una combinación de técnicas tradicionales de auditoría y herramientas asistidas por IA.

El hallazgo golpeó inmediatamente al precio de ZEC, que cayó con fuerza tras la divulgación. The Block reportó primero una baja de 31% en 24 horas hasta alrededor de USD $409,64, y luego una extensión del desplome por encima de 50%, desde niveles cercanos a USD $630 el jueves hasta aproximadamente USD $310 el viernes.

En el punto más extremo, ZEC llegó a caer cerca de 60%, tocando niveles próximos a USD $250 antes de recuperar parte del terreno.

La liquidación también fue severa en derivados. Los datos de CoinGlass citados por The Block muestran más de USD $116 millones en liquidaciones vinculadas a ZEC durante 24 horas, con alrededor de USD $72 millones en posiciones largas y más de USD $45 millones en posiciones cortas. La cifra ubicó a Zcash como el tercer activo con mayores liquidaciones del período, detrás de Bitcoin y Ether.

Una falla en el corazón privado de Zcash

La vulnerabilidad afectaba a Orchard, el pool de transacciones blindadas de Zcash que permite enviar y recibir ZEC con privacidad mediante pruebas de conocimiento cero.

En Zcash, los pools privados buscan ocultar información sensible de las transacciones, como montos y detalles de transferencia, mientras mantienen validez criptográfica. Para lograrlo, Orchard usa circuitos de prueba que verifican que una transacción es correcta sin revelar todos sus datos.

El problema detectado estaba en el circuito de Orchard, específicamente en un elemento “subrestringido” relacionado con una operación de multiplicación escalar de base variable sobre curvas elípticas. En términos menos técnicos, una parte del circuito no imponía suficientes condiciones sobre ciertos valores. Eso abría la puerta a introducir entradas falsas y aun así obtener una prueba aceptada como válida.

Según Shielded Labs, Hornby escribió un exploit completo con ayuda de Opus 4.8 y lo probó en un entorno local de pruebas. El resultado fue grave: el exploit podía generar ZEC falsos “ilimitados” e indetectables dentro del pool Orchard.

La vulnerabilidad existía desde la activación de Orchard en mayo de 2022, lo que implica una ventana de exposición de cuatro años, un día y diez horas hasta la mitigación mediante soft fork el 1 de junio de 2026.

Corrección rápida, pero una incertidumbre imposible de cerrar

La respuesta técnica fue veloz.

Hornby entregó un informe completo y una prueba de concepto a ingenieros del Zcash Open Development Lab, o ZODL, el mismo 29 de mayo. Para la noche del lunes siguiente, una mitigación vía soft fork ya estaba activa en mainnet. Posteriormente, la actualización NU6.2 reactivó Orchard en el bloque 3.364.600 el 2 de junio, con el circuito corregido.

Sin embargo, la corrección no resuelve el punto más incómodo: no se puede probar criptográficamente si el exploit fue usado antes de la remediación.

Shielded Labs y los autores de la divulgación fueron explícitos al respecto. Debido a las propiedades de privacidad de Orchard y a la naturaleza de la vulnerabilidad, no existe forma criptográfica de demostrar si alguien creó ZEC falsificados dentro del pool antes del parche.

Ese es el centro de la crisis. En una red transparente, sería más sencillo auditar el suministro y detectar anomalías. En una red diseñada precisamente para preservar privacidad fuerte, esa auditoría es mucho más compleja. La privacidad que protege a los usuarios también limita la capacidad de demostrar retroactivamente que no hubo falsificación.

Shielded Labs dijo que no está “excesivamente preocupada” por una explotación previa y considera improbable que haya ocurrido. Su argumento es que la falla pasó desapercibida durante años pese a revisiones de criptógrafos y expertos, y que su descubrimiento no fue accidental sino resultado de un esfuerzo deliberado con herramientas avanzadas de IA y un marco de auditoría especializado.

IA como acelerador de auditorías críticas

El papel de la inteligencia artificial en el hallazgo es uno de los elementos más llamativos del caso.

Hornby usó un sistema personalizado llamado zcash-full-stack-auditor, apoyado por Claude Opus 4.8, para revisar partes específicas del circuito Orchard. Según el reporte, un agente de auditoría identificó el problema alrededor de las 6:00 p.m. MDT del 29 de mayo. Antes de la medianoche, Hornby ya había compartido un reporte completo y una prueba de concepto con ZODL por Signal.

La divulgación también matiza el alcance de la IA. Versiones anteriores como Claude Opus 4.7 no detectaron el bug cuando recibieron instrucciones generales, incluso con alto esfuerzo. Opus 4.8 lo encontró solo en una de cuatro pruebas con prompts amplios, pero lo identificó de forma confiable cuando la revisión se enfocó en el componente específico vulnerable.

Esto sugiere que los modelos de IA pueden convertirse en herramientas poderosas para auditoría de código criptográfico, pero todavía requieren dirección experta, prompts precisos, marcos personalizados y validación humana.

La investigadora de seguridad de MetaMask, Taylor Monahan, destacó justamente este punto, al señalar que estos modelos “pueden y van a” descubrir vulnerabilidades extremadamente graves que han permanecido en producción durante años. Para ella, el caso Zcash debe leerse dentro de una nueva era donde la IA acelera tanto la defensa como el riesgo.

Mercado castiga la imposibilidad de probar

El desplome de ZEC refleja que el mercado no solo reaccionó a la existencia de la falla, sino a la imposibilidad de cerrar matemáticamente la incertidumbre sobre explotación previa.

El inversionista Arthur Hayes, cofundador de BitMEX y CIO de Maelstrom, dijo que vendió toda su posición en ZEC, así como la de su firma Maelstrom. “La Santísima Trinidad está muerta”, escribió, en referencia a su tesis anterior sobre activos de privacidad. Hayes reconoció que considera extremadamente improbable que haya habido acuñación falsa, pero sostuvo que la narrativa de privacidad frente a IA, gobiernos y grandes tecnológicas exige perfección, no improbabilidad.

Ese razonamiento explica parte del castigo de mercado. Para muchos inversionistas, Zcash se apoya en una promesa de privacidad y solidez criptográfica. Si no puede demostrarse que el suministro dentro del pool privado permanece intacto, aunque la explotación sea improbable, la confianza se resiente.

La caída también se amplificó por liquidaciones. El descenso rápido de ZEC obligó al cierre de posiciones apalancadas, tanto largas como cortas, elevando la volatilidad. CoinGlass calificó la intensidad de liquidación de la sesión en 3,72 veces el promedio de siete días, según The Block.

Defensores de Zcash responden

Varios defensores del ecosistema rechazaron la interpretación más pesimista.

Craig Salm, director legal de Grayscale, argumentó que para creer que el exploit fue usado habría que asumir que alguien revisó el código de Zcash más profundamente que los equipos de Electric Coin Company, ZODL, Shielded Labs y Zcash Foundation combinados, descubrió la falla, y luego decidió no drenar el pool durante un mercado alcista de más de 20 veces. Para Salm, esa cadena de eventos parece improbable.

Cameron Winklevoss, cofundador de Gemini, también defendió el proceso. Dijo que todas las redes de capa 1 pueden tener bugs y que lo importante es contar con investigadores de alto nivel trabajando para fortalecerlas antes que los atacantes. A su juicio, la rapidez con que se encontró y corrigió la vulnerabilidad puede interpretarse como una señal de confianza, no solo como motivo de alarma.

Shielded Labs sostuvo una línea similar. La organización reconoció la gravedad del incidente, pero enfatizó que la vulnerabilidad fue descubierta por investigadores de sombrero blanco antes de que hubiera evidencia de explotación maliciosa.

Nuevas propuestas para verificar el suministro

Shielded Labs está explorando una actualización de red que permita restaurar confianza de manera más formal.

La propuesta incluiría desplegar un nuevo pool blindado y aplicar turnstile accounting para todas las monedas que migren desde Orchard. Este mecanismo permitiría verificar la integridad del suministro de Zcash y probar que no existen ZEC falsificados en el pool Orchard.

La actualización requeriría aprobación de la gobernanza comunitaria. Shielded Labs dijo que publicará detalles técnicos adicionales en una publicación posterior. La organización también inició un proyecto para verificar matemáticamente el circuito Orchard y abrió búsquedas para un jefe de seguridad y un criptógrafo.

Josh Swihart, fundador de ZODL, sostuvo que la pregunta más importante no es solo si debe construirse un segundo pool Orchard, sino cómo garantizar que vulnerabilidades similares no vuelvan a ocurrir. Su respuesta es la verificación formal.

La verificación formal reemplaza parte de la revisión humana tradicional con pruebas matemáticas que demuestran que un circuito cumple una especificación precisa. En el caso de Zcash, Swihart argumenta que una regla “floja” puede ser difícil de detectar incluso para expertos, y que un sistema formal puede reducir ese tipo de riesgo.

Según Swihart, un segundo pool Orchard podría apuntar a NU7 a finales de julio, mientras un circuito Orchard formalmente verificado podría servir como paso intermedio antes de Tachyon, el próximo sistema de pruebas de Zcash, diseñado con verificación formal desde su base.

Zcash enfrenta una prueba existencial de confianza

El episodio llega en un momento especialmente delicado para Zcash.

La red había recuperado atención por su narrativa de privacidad, justo cuando gobiernos, empresas de IA y grandes plataformas tecnológicas elevan preocupaciones sobre vigilancia digital. ZEC venía de fuertes ganancias recientes antes de que la divulgación golpeara el mercado.

Pero el caso Orchard recuerda que la privacidad fuerte también implica trade-offs. Una blockchain privada protege información de los usuarios, pero puede dificultar auditorías completas de suministro cuando aparece una vulnerabilidad crítica. Ese dilema está en el corazón de la crisis actual.

La pregunta para el mercado no es solo si el bug fue explotado. Los propios investigadores consideran improbable que haya ocurrido. La pregunta es si Zcash puede restaurar confianza suficiente cuando no puede demostrarlo bajo las reglas actuales del sistema.

Transparencia frente a daño reputacional

La divulgación pública fue dolorosa para ZEC, pero probablemente inevitable. Shielded Labs dijo que era importante ser transparente sobre lo que significaba la vulnerabilidad para los usuarios. Ocultar o minimizar una falla de esta magnitud habría sido peor para la credibilidad de largo plazo del protocolo, especialmente si los detalles emergían por otros canales.

El costo inmediato fue severo: desplome de precio, liquidaciones, salida de inversionistas de alto perfil y dudas sobre el suministro. Pero el beneficio potencial es que el ecosistema puede avanzar hacia mejoras estructurales: nuevo pool, turnstile accounting, verificación formal y auditorías asistidas por IA más robustas.

En ese sentido, Zcash enfrenta una prueba similar a otras redes que han sufrido fallas críticas: demostrar que puede aprender, corregir y fortalecer su arquitectura sin abandonar su propuesta central.

La privacidad exige perfección

El caso deja una conclusión incómoda para toda la industria de privacidad cripto.

Los usuarios que buscan privacidad financiera lo hacen porque no quieren depender de promesas débiles. Esperan garantías criptográficas fuertes. Cuando una vulnerabilidad toca el suministro, incluso si fue corregida y aunque la explotación parezca improbable, el estándar de confianza se vuelve mucho más exigente.

Zcash ahora debe convencer al mercado de que su respuesta fue suficiente y de que sus próximas actualizaciones podrán cerrar la incertidumbre. La red conserva una comunidad técnica importante, investigadores de alto nivel y una larga trayectoria en criptografía de conocimiento cero. Pero el daño reputacional ya ocurrió.

La caída de ZEC por encima de 50% muestra que el mercado no castiga solo los exploits consumados. También castiga la posibilidad de que una promesa fundamental —suministro verificable, privacidad segura y ausencia de falsificación— quede bajo duda.

Zcash sobrevivió técnicamente al bug. La prueba ahora es si puede sobrevivir narrativamente a la incertidumbre que dejó.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público

Este artículo fue escrito por un redactor de contenido de IA

 


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados