A equipe de desenvolvimento do Zcash revelou que um grave vulnerabilidade existia no pool de ocultação Orchard da rede, que teoricamente permitiria a atacantes falsificar quantidade ilimitada de ZEC sem serem detectados. O problema foi corrigido de emergência nos primeiros dias desta semana, mas a equipe afirmou que, apenas com métodos criptográficos, não é possível confirmar se a vulnerabilidade foi explorada na mainnet antes da correção.
A vulnerabilidade persistiu desde 2022
A Shielded Labs, responsável pela divulgação, afirmou em 5 de junho que o problema existia desde a ativação do Orchard em maio de 2022 e só foi corrigido em 2 de junho. As atualizações coordenadas da rede vistas anteriormente pelo público estavam diretamente relacionadas a esta correção de vulnerabilidade.
O pesquisador de segurança Taylor Hornby descobriu a vulnerabilidade em 29 de maio durante uma revisão de segurança confidencial e conseguiu construir com sucesso uma exploração funcional em um ambiente de teste local. O relatório indica que a vulnerabilidade decorre de restrições insuficientes no circuito Orchard, permitindo que entradas inválidas passem na verificação de multiplicação de curva elíptica e, consequentemente, gerem ZEC falsificados.
Mecanismo de privacidade aumenta a dificuldade de verificação
Os desenvolvedores afirmam que, até o momento, não há evidências de que a vulnerabilidade tenha sido explorada antes da correção. No entanto, as transações Orchard utilizam mecanismos de proteção de privacidade, o que impede que partes externas verifiquem cada transação, como seria possível em um livro-razão público; portanto, não há método claro para provar que tokens falsificados nunca entraram em circulação.
Isso significa que, embora o problema já tenha sido corrigido, ainda permanece uma incerteza quanto à integridade da oferta do Zcash. A Shielded Labs afirmou que a equipe considerou baixa a probabilidade de exploração histórica, em parte porque a vulnerabilidade não foi detectada por pesquisadores de criptografia experientes por um longo período; após a confirmação interna do problema, a janela de exploração também foi rapidamente reduzida.
A equipe avalia a próxima atualização da rede
Esta divulgação também menciona que os pesquisadores utilizaram o modelo Opus 4.8 da Anthropic e métodos personalizados de auditoria assistida por IA. A Shielded Labs afirmou que a vulnerabilidade foi descoberta logo após o lançamento do novo modelo.
A equipe está atualmente avaliando se deve iniciar uma atualização subsequente da rede para verificar ainda mais a integridade da oferta do Zcash e eliminar as preocupações externas sobre ZEC falsificados. A proposta inicial inclui ativar um novo pool blindado e implementar verificação "turnstile accounting" para tokens provenientes do Orchard. Mais detalhes serão divulgados na próxima semana.
- Data de descoberta: 29 de maio de 2026
- Correção de emergência concluída: 2 de junho de 2026
- Data de divulgação externa: 5 de junho de 2026