El equipo de desarrollo de Zcash reveló que el pool de ocultamiento Orchard en la red presentaba una vulnerabilidad grave que, teóricamente, permitía a los atacantes falsificar una cantidad ilimitada de ZEC sin ser detectados. El problema fue reparado de emergencia a principios de esta semana, pero el equipo indicó que, por métodos criptográficos solos, no es posible confirmar si la vulnerabilidad fue explotada en la red principal antes de la reparación.
La vulnerabilidad ha existido desde 2022
Shielded Labs, responsable de la divulgación, indicó el 5 de junio que este problema existía desde que Orchard se activó en mayo de 2022, y que la respuesta de emergencia se completó el 2 de junio. Las actualizaciones coordinadas de la red vistas previamente por el público estaban directamente relacionadas con la corrección de esta vulnerabilidad.
El investigador de seguridad Taylor Hornby descubrió el problema el 29 de mayo durante una revisión de seguridad confiada y logró construir con éxito un exploit funcional en un entorno de prueba local. Se indicó que la vulnerabilidad se originó en una insuficiente restricción en el circuito Orchard, lo que permitió que entradas erróneas pasaran la verificación de multiplicación de curva elíptica y generaran ZEC falsificados.
El mecanismo de privacidad aumenta la dificultad de verificación
Los desarrolladores indican que actualmente no hay evidencia de que la vulnerabilidad haya sido explotada antes de su reparación. Sin embargo, las transacciones de Orchard utilizan mecanismos de protección de privacidad, por lo que externamente no se pueden verificar individualmente como en un libro mayor público, y por tanto no existe un método claro para demostrar que los tokens falsificados nunca entraron en circulación.
Esto significa que, aunque el problema ya ha sido reparado, aún persiste cierta incertidumbre sobre la integridad de la oferta de Zcash. Shielded Labs indicó que el equipo considera que la probabilidad histórica de explotación fue baja, en parte porque la vulnerabilidad no fue detectada por investigadores criptográficos experimentados durante mucho tiempo; tras confirmar internamente el problema, la ventana de explotación se redujo rápidamente.
El equipo evalúa las actualizaciones futuras de la red
Esta divulgación también menciona que los investigadores utilizaron el modelo Opus 4.8 de Anthropic y métodos de auditoría asistida por IA personalizados durante el proceso de revisión. Shielded Labs indicó que la vulnerabilidad se descubrió poco después del lanzamiento del nuevo modelo.
El equipo actualmente está evaluando si lanzar una actualización posterior de la red para verificar aún más la integridad de la oferta de Zcash y eliminar las preocupaciones externas sobre ZEC falsificados. La propuesta inicial incluye habilitar un nuevo pool protegido y aplicar verificación "turnstile accounting" a los tokens que salen de Orchard. Se esperan más detalles la próxima semana.
- Fecha de descubrimiento: 29 de mayo de 2026
- Reparación de emergencia completada: 2 de junio de 2026
- Fecha de divulgación pública: 5 de junio de 2026