Respuesta del cofundador de ZEC a la vulnerabilidad de Orchard: sin rastros de robo por ahora, se cerrará el pool de Orchard

Foresight NewsPublicado a 2026-06-15Actualizado a 2026-06-15

Resumen

El cofundador de ZEC responde a la vulnerabilidad de Orchard: Sin rastros de robo por ahora, se cerrará el pool de Orchard Recientemente se descubrió una vulnerabilidad de seguridad en el módulo Orchard de Zcash. El equipo evaluó cuatro preguntas clave: 1. **¿Se ha explotado la vulnerabilidad?** Es poco probable. Fue descubierta proactivamente por un investigador especializado, no por una explotación. El equipo actuó rápidamente para contenerla. No hay evidencia de movimientos sospechosos típicos de un ataque. 2. **¿Se pueden recuperar los fondos legítimos en Orchard?** Sí, si la vulnerabilidad no fue explotada. En el improbable caso de que se crearan fichas falsas, el mecanismo de salida limitaría el total retirable al monto depositado originalmente. Los usuarios pueden optar por trasladar sus fondos, pero deben sopesar las implicaciones de privacidad y riesgos operativos. 3. **¿Pueden los usuarios verificar la oferta total de ZEC?** Actualmente no, debido a esta vulnerabilidad. Sin embargo, la próxima actualización de red **Ironwood** resolverá esto. Cerrará permanentemente el pool de Orchard, permitiendo solo la salida de fondos por los canales existentes, cuyo límite total es igual a los depósitos legítimos originales. Después, cualquiera podrá verificar de forma independiente que no hay inflación de la oferta. 4. **¿Hay otras vulnerabilidades de falsificación?** Tras una exhaustiva auditoría por múltiples equipos, incluyendo el uso de herramientas de IA avanzada...


Autores: Zooko Wilcox, Jason McGee

Traducción: Luffy, Foresight News


Recientemente, se descubrió una vulnerabilidad de seguridad en el módulo Orchard de Zcash, lo que ha generado dos grandes preocupaciones: ¿La oferta total de Zcash es anormal? ¿Están seguros los activos de los usuarios?


Actualmente, diversos debates mezclan múltiples temas diferentes, lo que dificulta que muchas personas comprendan el impacto real de esta vulnerabilidad en los usuarios comunes. Este artículo explorará estas preguntas, interpretando una por una el significado detrás de ellas.


Esta vulnerabilidad de Orchard plantea principalmente cuatro interrogantes clave:


  1. ¿Ha sido explotada la vulnerabilidad por hackers?
  2. ¿Podrán recuperarse los activos legítimos que los usuarios tienen depositados en Orchard?
  3. ¿Pueden los usuarios verificar por sí mismos que la oferta total de Zcash no ha sido manipulada?
  4. ¿Cómo confirmar que el proyecto no tiene otras vulnerabilidades similares de falsificación?


¿Se ha explotado la vulnerabilidad?


Por ahora, no hay una conclusión definitiva. En general, es baja la probabilidad de que la vulnerabilidad haya sido explotada maliciosamente antes, pero no podemos descartar al 100% esta posibilidad, basándonos principalmente en tres puntos:


  • Durante años, numerosos expertos criptográficos e investigadores de seguridad de primer nivel en todo el mundo han estado revisando el código de Zcash, y esta vulnerabilidad nunca fue descubierta. Esta vulnerabilidad fue encontrada activamente por Taylor Hornby de Shielded Labs al realizar una revisión, no fue expuesta accidentalmente. Utilizó tecnologías de detección de seguridad con inteligencia artificial y herramientas propias, específicamente para descubrir este tipo de defectos ocultos. Este tipo de vulnerabilidades tiene un alto umbral de dificultad, y es difícil para personas no especializadas en el código de Zcash encontrarlas y explotarlas.
  • Tras la divulgación de la vulnerabilidad, el equipo de desarrollo de Zcash, junto con los principales pools de minería, congeló temporalmente el pool de fondos de Orchard y empujó una corrección, reduciendo significativamente la ventana de ataque para los hackers.
  • La mayoría de los ataques en el ámbito de las criptomonedas tienen como objetivo un beneficio rápido; una vez que se hace pública una vulnerabilidad, los hackers suelen monetizar inmediatamente. Para beneficiarse de esta vulnerabilidad, un hacker necesitaría transferir los ZEC falsificados fuera del pool de fondos de Orchard y cambiarlos por otros activos, operaciones que generalmente dejan rastros. Si la vulnerabilidad hubiera sido explotada antes, ya deberían existir evidencias. A lo largo de la historia de la industria, los hackers básicamente "actúan y se retiran rápidamente", sin ocultarse deliberadamente durante meses o incluso años.


¿Se pueden recuperar los activos legítimos dentro de Orchard?


Creemos que sí, pueden recuperarse con normalidad, suponiendo que la vulnerabilidad nunca haya sido explotada. Si este juicio es correcto, todos los activos legítimos que los usuarios tienen depositados en Orchard podrán ser retirados sin problemas.



Por el contrario, si un hacker ya ha explotado la vulnerabilidad para crear tokens falsos y los ha ingresado al pool de fondos, los canales de transferencia existentes limitarían el monto total que se puede retirar, estableciendo un límite máximo igual a la cantidad total de tokens depositados legítimamente en un principio. En este escenario, si los tokens falsos se retiran primero, algunos usuarios podrían no poder recuperar la totalidad de sus activos legítimos.



Consideramos que la probabilidad de que ocurra este escenario extremo es baja. Si aún existen preocupaciones, se pueden transferir los activos fuera del pool de Orchard, pero antes de hacerlo, es importante comprender los riesgos potenciales de los diferentes métodos de retiro:


  • Transferir a una dirección transparente (dirección t): El monto y el momento de la transferencia quedarán completamente públicos, y los activos quedarán públicamente asociados a esa dirección, perdiendo por completo su privacidad.
  • Transferir al pool de privacidad Sapling: El monto y el momento de la transferencia aún se registrarán, pero no vincularán los activos a una dirección específica o a su historial de transacciones, ofreciendo una privacidad superior a la de una dirección transparente. Es importante señalar que Sapling depende de la ceremonia de configuración confiable completada en 2018, lo que en sí mismo representa un riesgo de seguridad adicional.
  • Monederos (wallets): Entre los monederos de custodia propia más comunes, solo YWallet y Zkool admiten actualmente el pool Sapling.
  • Otros monederos o plataformas de custodia: También pueden ocurrir errores operativos, fallos de software, controles de riesgo de la plataforma y otros problemas inesperados.


En general, estos riesgos son manejables. Combinando esto con el juicio de que "es muy probable que la vulnerabilidad no haya sido explotada", dejar los activos en la billetera de privacidad original es una opción segura. Si se puede garantizar la seguridad de la operación, retirar los activos también es una posibilidad, cada usuario puede decidir según su propia situación.


¿Pueden los usuarios verificar por sí mismos que la oferta total de Zcash no ha sido aumentada?


Por el momento, no es posible. Debido a la existencia de esta vulnerabilidad, los usuarios comunes no pueden verificar de manera independiente si la oferta total de tokens dentro del pool de privacidad ha sido aumentada.



Sin embargo, la actualización de red Ironwood planificada por el proyecto resolverá este problema, siguiendo la lógica específica que se describe a continuación:



Esta actualización cerrará definitivamente el pool de Orchard, no permitiendo nuevas entradas de activos, y los tokens dentro del pool tampoco podrán circular internamente; todos los activos solo podrán retirarse a través de los canales originales. Y la suma total que puede salir a través de estos canales es estrictamente igual a la cantidad de tokens depositados legítimamente en un principio, impidiendo desde la raíz una salida excesiva de tokens.


Una vez completada la actualización, cualquier persona que ejecute un nodo podrá verificar la conformidad de la oferta total de tokens. Incluso si hubieran existido tokens falsos antes, no podrán seguir circulando dentro del pool de Orchard, inflando la oferta total. Los usuarios no tendrán que adivinar las acciones de hackers u otros usuarios; el protocolo en sí garantizará que no ocurra una sobre-emisión de tokens.


Este punto es crucial. La credibilidad a largo plazo de Zcash se basa en que los usuarios puedan verificar de manera autónoma la oferta total de tokens. La actualización Ironwood restaurará esta capacidad a los usuarios.


¿Cómo confirmar que el proyecto no tiene otras vulnerabilidades de falsificación de tokens?


En esta etapa, no podemos dar una respuesta absoluta, pero tenemos razones para creer que ya no existen vulnerabilidades similares.


Shielded Labs, junto con varios equipos, ha llevado a cabo una revisión exhaustiva del protocolo Zcash, centrándose en buscar vulnerabilidades del tipo de falsificación de tokens. Durante este proceso, el equipo también utilizó el modelo de inteligencia artificial Mythos de Anthropic, aún no lanzado oficialmente, para ayudar en la detección. Posteriormente publicaremos un artículo que detalle el proceso y los resultados de esta revisión.


Hasta la fecha, el equipo no ha encontrado nuevas vulnerabilidades de falsificación. Esta revisión reunió a técnicos experimentados, equipos de seguridad especializados y herramientas avanzadas de análisis con IA, lo que nos hace estar más seguros de que actualmente no existen vulnerabilidades críticas similares que no hayan sido reveladas.


Al mismo tiempo, también estamos colaborando con socios como el proyecto Tachyon para realizar pruebas adicionales, fortaleciendo aún más las defensas de seguridad, y los avances relacionados también se anunciarán posteriormente.


Resumen


Esta vulnerabilidad de Orchard plantea cuatro preguntas centrales: si la vulnerabilidad fue explotada, si los activos legítimos se pueden recuperar, si la oferta total de tokens se puede verificar y si existen otras vulnerabilidades de falsificación.


Basándonos en los resultados de la revisión actual, juzgamos que es baja la probabilidad de que la vulnerabilidad haya sido explotada anteriormente, por lo tanto, los activos de los usuarios están seguros y la oferta total de tokens también se mantiene normal por ahora. Tras repetidas pruebas por múltiples equipos independientes, también estamos cada vez más seguros de que por el momento no existen otras vulnerabilidades de falsificación no reveladas en el proyecto.


Pero hay algo que no se puede evitar: actualmente los usuarios aún no pueden verificar de manera autónoma la oferta total de tokens. La próxima actualización de la red resolverá completamente este problema. Después de la actualización, el pool de Orchard se cerrará permanentemente, y los usuarios podrán verificar de forma independiente la oferta total de tokens, sin tener que juzgar si ha ocurrido una falsificación de tokens.

Preguntas relacionadas

Q¿Se ha explotado la vulnerabilidad en el módulo Orchard de Zcash y cuáles son las razones para creer que probablemente no?

AActualmente no hay evidencia concluyente de que la vulnerabilidad haya sido explotada, pero se considera baja la probabilidad. Esto se basa en tres factores: 1) La vulnerabilidad fue descubierta proactivamente por un experto usando herramientas especializadas, no por una exposición accidental o un ataque. 2) El equipo de desarrollo actuó rápidamente para congelar el pool de Orchard y aplicar un parche, reduciendo la ventana de oportunidad para un atacante. 3) Los ataques en criptomonedas suelen buscar un beneficio rápido y dejarían rastros (como ZEC falsos moviéndose fuera del pool). No se han observado tales evidencias.

Q¿Los usuarios pueden retirar sus activos legítimos del pool Orchard y cuáles son las opciones y riesgos?

ASí, los usuarios pueden retirar sus activos legítimos, asumiendo que la vulnerabilidad no fue explotada. Si así fuera, podrían retirarlos sin problema. Existen opciones de retiro con distintos perfiles de riesgo: transferir a una dirección transparente (t-addr) que pierde privacidad, transferir al pool de privacidad Sapling (mantiene más privacidad pero depende de una ceremonia de configuración confiable de 2018), o usar billeteras como YWallet y Zkool. El artículo concluye que, dado que es probable que la vulnerabilidad no haya sido usada, dejar los activos en la billetera original es una opción segura.

Q¿Pueden los usuarios verificar por sí mismos que la oferta total de ZEC no ha sido manipulada (inflada) debido a esta vulnerabilidad?

AActualmente, no. Debido a la existencia de esta vulnerabilidad, los usuarios ordinarios no pueden verificar de forma independiente si la cantidad total de monedas en el pool de privacidad ha sido aumentada fraudulentamente. Sin embargo, la próxima actualización de la red, Ironwood, resolverá este problema al cerrar permanentemente el pool Orchard. Después de la actualización, cualquier persona que ejecute un nodo podrá verificar que la cantidad total de ZEC es correcta, ya que el protocolo evitará que se retiren más monedas de las que se depositaron legítimamente.

Q¿Qué medidas se están tomando para asegurar que no existan otras vulnerabilidades similares de creación falsa de monedas en Zcash?

AShielded Labs, en colaboración con otros equipos, ha realizado una revisión exhaustiva del protocolo Zcash centrada específicamente en buscar vulnerabilidades que permitan la falsificación de monedas. Para esta revisión, utilizaron herramientas avanzadas, incluido el modelo de inteligencia artificial Mythos de Anthropic. Hasta ahora, no se han encontrado nuevas vulnerabilidades de este tipo. Además, se están realizando auditorías adicionales en colaboración con socios como el proyecto Tachyon. Los resultados detallados de estas revisiones se publicarán en el futuro.

Q¿Cuál es la solución a largo plazo para restablecer la confianza en la integridad de la oferta monetaria de Zcash tras esta vulnerabilidad?

ALa solución a largo plazo es la actualización de la red Ironwood. Esta actualización cerrará permanentemente el pool Orchard, impidiendo nuevos depósitos y permitiendo solo retiros a través de canales que limitan la salida a la cantidad de monedas depositadas legítimamente. Esto restaurará la capacidad de cualquier usuario para verificar de forma independiente y sin necesidad de confiar en terceros que la oferta total de ZEC no ha sido inflada, lo cual es fundamental para la credibilidad a largo plazo de Zcash.

Lecturas Relacionadas

Las transacciones de fusiones y adquisiciones en el mercado de criptomonedas están inusualmente activas

El mercado de criptomonedas está experimentando una actividad inusualmente alta en fusiones y adquisiciones (M&A), alcanzando aproximadamente el 42% del total de transacciones de mercado primario este mes, su nivel más alto histórico. Esta tendencia no refleja un ciclo de expansión, sino más bien la contracción del mercado de financiación, que ha pasado de unas 100 rondas mensuales a unas 50, haciendo que las adquisiciones se conviertan en la forma más estable de transacción. Empresas líderes como Coinbase, Kraken, Ripple y MoonPay están aprovechando esta situación para adquirir equipos, licencias y tecnología a costes más bajos y con mayor poder de negociación. Las adquisiciones se centran en cuatro áreas principales: infraestructura de negociación (ej. Coinbase adquiriendo Deribit), pagos y stablecoins (ej. Ripple y MoonPay expandiéndose), licencias de cumplimiento normativo, y emisión/distribución de activos (ej. adquisiciones relacionadas con RWA y tokenización). Este cambio está reescribiendo la lógica de salida del mercado primario, ofreciendo a los proyectos una vía de rentabilidad alternativa al mero lanzamiento de tokens, basada en el valor real de sus productos y capacidades estratégicas. Sin embargo, también señala una creciente centralización del sector, donde unos pocos grandes actores consolidan su control sobre licencias, liquidez e infraestructura clave, elevando las barreras de entrada para nuevos emprendedores y alejándose del ideal inicial de apertura y descentralización.

链捕手Hace 3 min(s)

Las transacciones de fusiones y adquisiciones en el mercado de criptomonedas están inusualmente activas

链捕手Hace 3 min(s)

Los acuerdos de fusión y adquisición en el mercado de criptomonedas son inusualmente activos

L'activitat de fusions i adquisicions (M&A) en el mercat de criptomonedes està assolint nivells inèdits, representant al voltant del 42% del total de transaccions primàries aquest mes, mentre que el finançament de capital risc continua contraient-se. Aquesta tendència indica que el poder de fixació de preus està passant dels capitalistes de risc a grans compradors consolidats. Empreses com Coinbase, Kraken, Ripple, MoonPay i altres estan adquirint projectes a preus més baixos per aconseguir capacitats clau, com ara infraestructura de negociació (per exemple, Coinbase adquirint Deribit), accés a llicències reguladores, xarxes de pagament amb monedes estables i plataformes d'emissió d'actius. Les motivacions principals són: aprofitar les baixes valoracions, estalviar temps i costos de desenvolupament intern, obtenir recursos de compliment normatiu i integrar la cadena de valor. Aquest augment de les M&A ofereix una nova via de sortida per a les startups, més enllà de la dependència dels tokens, i premia els projectes amb valor estratègic tangible. No obstant això, també assenyala que la indústria es torna més centralitzada, amb grans plataformes que acumulen més control sobre l'emissió d'actius, la negociació, els pagaments i la conformitat, el que augmenta les barreres d'entrada per als nous participants.

marsbitHace 4 min(s)

Los acuerdos de fusión y adquisición en el mercado de criptomonedas son inusualmente activos

marsbitHace 4 min(s)

Panorama del Ecosistema de Privacidad de Solana: La Pila Completa de Privacidad desde la Computación hasta la IA

Solana, en su fase temprana de desarrollo de privacidad, presenta desafíos en aspectos como la verificación formal y la inmutabilidad. Sin embargo, su arquitectura única facilita la escalabilidad y la composibilidad de protocolos privados, sin depender de rollups persistentes gracias a los "based rollups". Helius Privacy está desarrollando una capa de privacidad UTXO basada en ZK para Solana, ofreciendo zonas tanto públicas como privadas con diferentes compensaciones. Dos proveedores principales, Arcium (usando MPC) y Magic Block (usando TEE), lideran el campo del cómputo privado. Arcium, con su red de ejecución MXE, maneja datos arbitrarios y ha procesado millones de transacciones. Magic Block emplea rollups efímeros privados (PER) para confidencialidad y escalabilidad. Ambos permiten casos de uso como libros de órdenes privados y fondos oscuros. Para transferencias y saldos privados, proyectos como Umbra (con cuentas de token encriptadas), Privacy Cash (usando pools de mezcla tipo Tornado) y Hush (inspirado en Zcash con utilidad DeFi) ofrecen privacidad en montos, saldos y asociaciones, además de funciones de cumplimiento. Para eliminar el rastro en cadena en actividades como trading, Encifherio enruta transacciones a través de Jupiter manteniendo los detalles encriptados en TEE, mientras que Vanish Trade usa enrutamiento de liquidez enmascarada. Darklake ofrece infraestructura de liquidez nativa ZK, como su zk-AMM de "deslizamiento a ciegas" para prevenir ataques front-running. En mercados de predicción privados, Melee Markets utiliza la infraestructura MPC de Arcium para encriptar libros de órdenes, protegiendo las estrategias de los participantes. Finalmente, en el ámbito de la IA privada, Loyal utiliza rollups temporales de Magic Block y cómputo encriptado de Arcium para crear protocolos de IA en cadena que protegen datos de usuario como conversaciones y preferencias, otorgando a los usuarios propiedad y control sobre su información.

Foresight NewsHace 10 min(s)

Panorama del Ecosistema de Privacidad de Solana: La Pila Completa de Privacidad desde la Computación hasta la IA

Foresight NewsHace 10 min(s)

Reseña del Exchange de Criptomonedas Orbixbit.com

Reseña de Orbixbit: Un Intercambio de Criptomonedas Orbixbit es un intercambio de criptomonedas centralizado fundado en 2018. Atrae a usuarios con una interfaz sencilla, bajas comisiones, verificación rápida y soporte para diversos estilos de trading, incluidos spot, futuros y margen (con apalancamiento hasta 1:20). La plataforma, que afirma estar regulada por la CySEC en Chipre, añade regularmente nuevos activos y permite el trading automatizado mediante API. La seguridad es una prioridad, implementando autenticación de dos factores (2FA), billeteras frías para almacenar fondos, cifrado de datos y verificación en múltiples pasos para retiros. Los depósitos y retiros se realizan exclusivamente en criptomonedas, con procesos generalmente rápidos, aunque la liquidez en algunos pares menos comunes puede ser limitada. Otras características incluyen opciones de ingresos pasivos (hasta un 30% anual potencial) y un programa de referidos. En resumen, Orbixbit ofrece una alternativa con herramientas básicas y avanzadas para traders que buscan una plataforma con comisiones competitivas y una interfaz accesible, aunque presenta ciertas limitaciones en la variedad de activos y liquidez frente a los principales exchanges.

TheNewsCryptoHace 49 min(s)

Reseña del Exchange de Criptomonedas Orbixbit.com

TheNewsCryptoHace 49 min(s)

Las 7 cuestiones clave sobre «DeepSeek ha completado una financiación superior a 50.000 millones de yuanes»

DeepSeek ha completado una ronda de financiación por valor de más de 500.000 millones de RMB, según informes de The Information. Con esta inversión, su valoración supera los 500.000 millones de dólares. La ronda, iniciada en abril de 2026, cuenta con participaciones del fundador Liang Wenfeng (200.000 millones de RMB), Tencent, CATL, JD.com, NetEase e IDG Capital. La operación destaca por una estructura especial: la mayoría de los inversores aportan capital a una sociedad controlada por Liang Wenfeng, con un periodo de bloqueo de 5 años y sin derechos de voto, salvo el Fondo Nacional de Inversión en IA Industrial, que invierte directamente y tiene voto. Esto busca garantizar el control de Liang y alinear a inversores con visión a largo plazo. La entrada de Tencent refuerza una alianza estratégica existente, mientras que CATL busca sinergias en soluciones energéticas para centros de datos de IA. El apoyo estatal subraya la importancia estratégica de DeepSeek en el ámbito de la IA. Tras la financiación, DeepSeek planea lanzar nuevos modelos, mejorar herramientas comerciales, ampliar soporte multimodal (imagen/audio) e invertir en infraestructura, como un centro de datos en Mongolia Interior. Su objetivo final sigue siendo el desarrollo de una Inteligencia General Artificial (AGI), equilibrando su visión tecnológica con las expectativas comerciales de los inversores.

marsbitHace 56 min(s)

Las 7 cuestiones clave sobre «DeepSeek ha completado una financiación superior a 50.000 millones de yuanes»

marsbitHace 56 min(s)

Trading

Spot
Futuros

Artículos destacados

Cómo comprar ZEC

¡Bienvenido a HTX.com! Hemos hecho que comprar Zcash (ZEC) sea simple y conveniente. Sigue nuestra guía paso a paso para iniciar tu viaje de criptos.Paso 1: crea tu cuenta HTXUtiliza tu correo electrónico o número de teléfono para registrarte y obtener una cuenta gratuita en HTX. Experimenta un proceso de registro sin complicaciones y desbloquea todas las funciones.Obtener mi cuentaPaso 2: ve a Comprar cripto y elige tu método de pagoTarjeta de crédito/débito: usa tu Visa o Mastercard para comprar Zcash (ZEC) al instante.Saldo: utiliza fondos del saldo de tu cuenta HTX para tradear sin problemas.Terceros: hemos agregado métodos de pago populares como Google Pay y Apple Pay para mejorar la comodidad.P2P: tradear directamente con otros usuarios en HTX.Over-the-Counter (OTC): ofrecemos servicios personalizados y tipos de cambio competitivos para los traders.Paso 3: guarda tu Zcash (ZEC)Después de comprar tu Zcash (ZEC), guárdalo en tu cuenta HTX. Alternativamente, puedes enviarlo a otro lugar mediante transferencia blockchain o utilizarlo para tradear otras criptomonedas.Paso 4: tradear Zcash (ZEC)Tradear fácilmente con Zcash (ZEC) en HTX's mercado spot. Simplemente accede a tu cuenta, selecciona tu par de trading, ejecuta tus trades y monitorea en tiempo real. Ofrecemos una experiencia fácil de usar tanto para principiantes como para traders experimentados.

676 Vistas totalesPublicado en 2024.12.12Actualizado en 2026.06.02

Cómo comprar ZEC

Discusiones

Bienvenido a la comunidad de HTX. Aquí puedes mantenerte informado sobre los últimos desarrollos de la plataforma y acceder a análisis profesionales del mercado. A continuación se presentan las opiniones de los usuarios sobre el precio de ZEC (ZEC).

活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow