Se confirmó que la red de Zcash tiene una vulnerabilidad grave que permite falsificar una cantidad ilimitada de ZEC en su piscina de transacciones privadas, Orchard. La corrección correspondiente se completó el 1 de junio. Sin embargo, debido al diseño de privacidad de Orchard, no es posible verificar directamente en la cadena si la vulnerabilidad fue explotada entre mayo de 2022 y junio de 2026. Tras la divulgación de la noticia, ZEC cayó hasta cerca de los 250 dólares, con una caída máxima intradía del 43 %.
La vulnerabilidad permite omitir la validación
Esta vulnerabilidad fue descubierta por el investigador de seguridad Taylor Hornby el 29 de mayo. Hornby, contratado por el equipo de Zcash para realizar investigaciones de seguridad, escribió un código de explotación completo y funcional con la ayuda de Claude Opus 4.8 de Anthropic.
El problema radica en una lógica de validación de entradas de transacción en Orchard. Aunque aparentemente esta verificación comprueba si las entradas cumplen con las reglas, en realidad no implementa adecuadamente las restricciones. Un atacante que cree entradas falsas aún podría pasar la verificación de prueba de conocimiento cero, generando ZEC de la nada, y estos tokens falsificados son indistinguibles de los tokens legítimos.
Reparación completada
Hornby indicó que solo realizó la verificación en un entorno local y luego reveló inmediatamente el problema a ZODL, responsable de la coordinación del desarrollo de Zcash, sin llevar a cabo el ataque en la red principal. El ecosistema de Zcash implementó una corrección de emergencia el 1 de junio, impidiendo la posible explotación continua de esta vulnerabilidad.
Sin embargo, el equipo reconoció al mismo tiempo que la ventana real de explotación de la vulnerabilidad podría haber durado aproximadamente 4 años. La dificultad radica en que Orchard es un pool de privacidad por diseño, cuyo objetivo es ocultar el monto de las transacciones y la información de los participantes, lo que significa que externamente no es posible determinar mediante criptografía si hubo emisiones ocultas en el pasado.
La comunidad propone avanzar con la actualización
Para abordar los riesgos futuros, Shielded Labs propone lanzar una actualización de la red. La propuesta incluye implementar nuevos pools de privacidad y introducir un mecanismo de verificación "turnstile accounting" para los tokens provenientes de Orchard.
Siguiendo esta línea de pensamiento, los tokens de Orchard actuales deben pasar por un punto de verificación verificable para identificar la posible existencia de oferta falsificada. Este plan aún requiere el apoyo de la gobernanza comunitaria y debe completar el proceso habitual de actualización de la red Zcash. Se espera que se publique una propuesta más detallada la próxima semana.
La capacidad de auditoría de IA llama la atención
Además del plan de actualización, Shielded Labs indicó que iniciará un trabajo de verificación matemática de todo el circuito Orchard y contratará a un responsable de seguridad e investigadores en criptografía. Este evento también ha generado atención en el mercado sobre la capacidad de investigación en seguridad de IA.
Claude Opus 4.8 se lanzó públicamente el 28 de mayo, y los investigadores descubrieron esta vulnerabilidad crítica, que existía desde hace varios años, aproximadamente 24 horas después del lanzamiento del modelo. A medida que se lanzan modelos más potentes, el ritmo de ataque y defensa para los protocolos criptográficos podría acelerarse aún más.