Defecto de cuatro años expuesto en Zcash, lo que h...

Zcash ($ZEC) centrado en la privacidad ha recibido una paliza en las últimas 24 horas, cayendo aproximadamente un 30% a $400 en medio de una debilidad más amplia del mercado. La venta se aceleró después de que Shielded Labs, un desarrollador de Zcash sin fines de lucro, revelara una vulnerabilidad crítica en el grupo de privacidad Orchard de blockchain que podría haber amenazado la integridad del suministro del token.

El jueves por la noche, Shielded Labs publicó una divulgación detallada sobre X, revelando una vulnerabilidad que, si se hubiera explotado, podría haber permitido a un atacante crear una cantidad ilimitada de tokens $ZEC falsificados, sin ser detectados. Piense en ello como si alguien obtuviera acceso en secreto a la imprenta de dólares de la Reserva Federal, excepto que en este caso, ni siquiera la Reserva Federal sería capaz de saber que se imprimieron esos dólares adicionales.

La vulnerabilidad fue descubierta el 29 de mayo por Taylor Hornby, un ingeniero de seguridad contratado por Shielded Labs en abril de 2026 específicamente para identificar vulnerabilidades de protocolo antes de que los actores maliciosos pudieran hacerlo. Trabajando con el modelo de IA Opus 4.8 lanzado recientemente por Anthropic, Hornby llevó a cabo una revisión muy específica del circuito Orchard, que es el sistema criptográfico que sustenta el grupo de privacidad más avanzado de Zcash.

Shielded Labs dijo que Hornby escribió un exploit completo que, cuando se probó en un entorno de prueba local, generó $ZEC falsificados ilimitados e indetectables. Shielded Labs agregó que si la misma herramienta se hubiera ejecutado en la red principal de Zcash, habría generado tokens falsificados ilimitados e indetectables en su billetera de la red principal.

Imagine a un atacante imprimiendo silenciosamente $ZEC falsificados ilimitados y reteniéndolos sin ser detectados. El daño a la confianza en el suministro y, por extensión, al valor de mercado del token podría haber sido grave.

Hornby reveló inmediatamente la vulnerabilidad al Laboratorio de Desarrollo Abierto Zcash (ZODL), que coordinó una solución de emergencia el 1 de junio y la cerró a los pocos días de su descubrimiento.

Error no detectado durante cuatro años

Aún así, lo que parece ser un enfoque proactivo para corregir errores no ha impresionado a los mercados. Posiblemente se deba a que, como admitió el propio Shielded Labs, el error había estado presente desde la activación de Orchard en mayo de 2022. En otras palabras, existió, sin ser detectado, durante cuatro años.

Lo que hace que la situación sea aún más compleja para los mercados es el reconocimiento de Shielded Labs de que no puede decir con certeza si el error fue explotado antes de la solución.

"Lo que hace que esto sea particularmente desafiante es que, debido a las propiedades de privacidad de Orchard y la naturaleza del error, no existe una forma definitiva de determinar utilizando únicamente criptografía si dicha explotación ocurrió antes de que se descubriera y solucionara la vulnerabilidad. Creemos que es importante ser transparentes sobre esa incertidumbre", dijo la firma.

Aún así, enfatizó que la explotación probablemente no ocurrió por varias razones. En primer lugar, el error había eludido años de escrutinio por parte de criptógrafos experimentados. Salió a la luz sólo con la ayuda de herramientas de inteligencia artificial de vanguardia e investigadores altamente calificados que trabajaron deliberadamente para encontrarlo. Y una vez descubierto, se solucionó rápidamente, dejando poco tiempo para que alguien pudiera explotarlo.

"Creemos que probablemente lo logró", dijo Shilded Labs sobre los esfuerzos de Hornby para encontrar la vulnerabilidad antes de que los actores maliciosos pudieran hacerlo.

Sin embargo, la organización tuvo cuidado de agregar que los usuarios no deberían confiar únicamente en su evaluación y propuso una actualización de la red que permitiría a cualquiera verificar la integridad del suministro de $ZEC de forma independiente. La propuesta implica implementar un nuevo grupo protegido y hacer cumplir la contabilidad de torniquete en todas las monedas del grupo Orchard. La firma dijo que podría publicar una publicación detallada sobre el mismo tema la próxima semana.

También dijo que está acelerando los esfuerzos de seguridad, incluido el trabajo continuo con Hornby, un proyecto de verificación formal destinado a escribir una prueba matemática de que no hay errores no descubiertos en el circuito de Orchard y nuevas contrataciones para un Jefe de Seguridad y un Criptógrafo.