Respuesta del cofundador de ZEC a la vulnerabilidad de Orchard: sin rastros de robo por ahora, se cerrará el pool de Orchard

Foresight NewsPublicado a 2026-06-15Actualizado a 2026-06-15

Resumen

El cofundador de ZEC responde a la vulnerabilidad de Orchard: Sin rastros de robo por ahora, se cerrará el pool de Orchard Recientemente se descubrió una vulnerabilidad de seguridad en el módulo Orchard de Zcash. El equipo evaluó cuatro preguntas clave: 1. **¿Se ha explotado la vulnerabilidad?** Es poco probable. Fue descubierta proactivamente por un investigador especializado, no por una explotación. El equipo actuó rápidamente para contenerla. No hay evidencia de movimientos sospechosos típicos de un ataque. 2. **¿Se pueden recuperar los fondos legítimos en Orchard?** Sí, si la vulnerabilidad no fue explotada. En el improbable caso de que se crearan fichas falsas, el mecanismo de salida limitaría el total retirable al monto depositado originalmente. Los usuarios pueden optar por trasladar sus fondos, pero deben sopesar las implicaciones de privacidad y riesgos operativos. 3. **¿Pueden los usuarios verificar la oferta total de ZEC?** Actualmente no, debido a esta vulnerabilidad. Sin embargo, la próxima actualización de red **Ironwood** resolverá esto. Cerrará permanentemente el pool de Orchard, permitiendo solo la salida de fondos por los canales existentes, cuyo límite total es igual a los depósitos legítimos originales. Después, cualquiera podrá verificar de forma independiente que no hay inflación de la oferta. 4. **¿Hay otras vulnerabilidades de falsificación?** Tras una exhaustiva auditoría por múltiples equipos, incluyendo el uso de herramientas de IA avanzada...


Autores: Zooko Wilcox, Jason McGee

Traducción: Luffy, Foresight News


Recientemente, se descubrió una vulnerabilidad de seguridad en el módulo Orchard de Zcash, lo que ha generado dos grandes preocupaciones: ¿La oferta total de Zcash es anormal? ¿Están seguros los activos de los usuarios?


Actualmente, diversos debates mezclan múltiples temas diferentes, lo que dificulta que muchas personas comprendan el impacto real de esta vulnerabilidad en los usuarios comunes. Este artículo explorará estas preguntas, interpretando una por una el significado detrás de ellas.


Esta vulnerabilidad de Orchard plantea principalmente cuatro interrogantes clave:


  1. ¿Ha sido explotada la vulnerabilidad por hackers?
  2. ¿Podrán recuperarse los activos legítimos que los usuarios tienen depositados en Orchard?
  3. ¿Pueden los usuarios verificar por sí mismos que la oferta total de Zcash no ha sido manipulada?
  4. ¿Cómo confirmar que el proyecto no tiene otras vulnerabilidades similares de falsificación?


¿Se ha explotado la vulnerabilidad?


Por ahora, no hay una conclusión definitiva. En general, es baja la probabilidad de que la vulnerabilidad haya sido explotada maliciosamente antes, pero no podemos descartar al 100% esta posibilidad, basándonos principalmente en tres puntos:


  • Durante años, numerosos expertos criptográficos e investigadores de seguridad de primer nivel en todo el mundo han estado revisando el código de Zcash, y esta vulnerabilidad nunca fue descubierta. Esta vulnerabilidad fue encontrada activamente por Taylor Hornby de Shielded Labs al realizar una revisión, no fue expuesta accidentalmente. Utilizó tecnologías de detección de seguridad con inteligencia artificial y herramientas propias, específicamente para descubrir este tipo de defectos ocultos. Este tipo de vulnerabilidades tiene un alto umbral de dificultad, y es difícil para personas no especializadas en el código de Zcash encontrarlas y explotarlas.
  • Tras la divulgación de la vulnerabilidad, el equipo de desarrollo de Zcash, junto con los principales pools de minería, congeló temporalmente el pool de fondos de Orchard y empujó una corrección, reduciendo significativamente la ventana de ataque para los hackers.
  • La mayoría de los ataques en el ámbito de las criptomonedas tienen como objetivo un beneficio rápido; una vez que se hace pública una vulnerabilidad, los hackers suelen monetizar inmediatamente. Para beneficiarse de esta vulnerabilidad, un hacker necesitaría transferir los ZEC falsificados fuera del pool de fondos de Orchard y cambiarlos por otros activos, operaciones que generalmente dejan rastros. Si la vulnerabilidad hubiera sido explotada antes, ya deberían existir evidencias. A lo largo de la historia de la industria, los hackers básicamente "actúan y se retiran rápidamente", sin ocultarse deliberadamente durante meses o incluso años.


¿Se pueden recuperar los activos legítimos dentro de Orchard?


Creemos que sí, pueden recuperarse con normalidad, suponiendo que la vulnerabilidad nunca haya sido explotada. Si este juicio es correcto, todos los activos legítimos que los usuarios tienen depositados en Orchard podrán ser retirados sin problemas.



Por el contrario, si un hacker ya ha explotado la vulnerabilidad para crear tokens falsos y los ha ingresado al pool de fondos, los canales de transferencia existentes limitarían el monto total que se puede retirar, estableciendo un límite máximo igual a la cantidad total de tokens depositados legítimamente en un principio. En este escenario, si los tokens falsos se retiran primero, algunos usuarios podrían no poder recuperar la totalidad de sus activos legítimos.



Consideramos que la probabilidad de que ocurra este escenario extremo es baja. Si aún existen preocupaciones, se pueden transferir los activos fuera del pool de Orchard, pero antes de hacerlo, es importante comprender los riesgos potenciales de los diferentes métodos de retiro:


  • Transferir a una dirección transparente (dirección t): El monto y el momento de la transferencia quedarán completamente públicos, y los activos quedarán públicamente asociados a esa dirección, perdiendo por completo su privacidad.
  • Transferir al pool de privacidad Sapling: El monto y el momento de la transferencia aún se registrarán, pero no vincularán los activos a una dirección específica o a su historial de transacciones, ofreciendo una privacidad superior a la de una dirección transparente. Es importante señalar que Sapling depende de la ceremonia de configuración confiable completada en 2018, lo que en sí mismo representa un riesgo de seguridad adicional.
  • Monederos (wallets): Entre los monederos de custodia propia más comunes, solo YWallet y Zkool admiten actualmente el pool Sapling.
  • Otros monederos o plataformas de custodia: También pueden ocurrir errores operativos, fallos de software, controles de riesgo de la plataforma y otros problemas inesperados.


En general, estos riesgos son manejables. Combinando esto con el juicio de que "es muy probable que la vulnerabilidad no haya sido explotada", dejar los activos en la billetera de privacidad original es una opción segura. Si se puede garantizar la seguridad de la operación, retirar los activos también es una posibilidad, cada usuario puede decidir según su propia situación.


¿Pueden los usuarios verificar por sí mismos que la oferta total de Zcash no ha sido aumentada?


Por el momento, no es posible. Debido a la existencia de esta vulnerabilidad, los usuarios comunes no pueden verificar de manera independiente si la oferta total de tokens dentro del pool de privacidad ha sido aumentada.



Sin embargo, la actualización de red Ironwood planificada por el proyecto resolverá este problema, siguiendo la lógica específica que se describe a continuación:



Esta actualización cerrará definitivamente el pool de Orchard, no permitiendo nuevas entradas de activos, y los tokens dentro del pool tampoco podrán circular internamente; todos los activos solo podrán retirarse a través de los canales originales. Y la suma total que puede salir a través de estos canales es estrictamente igual a la cantidad de tokens depositados legítimamente en un principio, impidiendo desde la raíz una salida excesiva de tokens.


Una vez completada la actualización, cualquier persona que ejecute un nodo podrá verificar la conformidad de la oferta total de tokens. Incluso si hubieran existido tokens falsos antes, no podrán seguir circulando dentro del pool de Orchard, inflando la oferta total. Los usuarios no tendrán que adivinar las acciones de hackers u otros usuarios; el protocolo en sí garantizará que no ocurra una sobre-emisión de tokens.


Este punto es crucial. La credibilidad a largo plazo de Zcash se basa en que los usuarios puedan verificar de manera autónoma la oferta total de tokens. La actualización Ironwood restaurará esta capacidad a los usuarios.


¿Cómo confirmar que el proyecto no tiene otras vulnerabilidades de falsificación de tokens?


En esta etapa, no podemos dar una respuesta absoluta, pero tenemos razones para creer que ya no existen vulnerabilidades similares.


Shielded Labs, junto con varios equipos, ha llevado a cabo una revisión exhaustiva del protocolo Zcash, centrándose en buscar vulnerabilidades del tipo de falsificación de tokens. Durante este proceso, el equipo también utilizó el modelo de inteligencia artificial Mythos de Anthropic, aún no lanzado oficialmente, para ayudar en la detección. Posteriormente publicaremos un artículo que detalle el proceso y los resultados de esta revisión.


Hasta la fecha, el equipo no ha encontrado nuevas vulnerabilidades de falsificación. Esta revisión reunió a técnicos experimentados, equipos de seguridad especializados y herramientas avanzadas de análisis con IA, lo que nos hace estar más seguros de que actualmente no existen vulnerabilidades críticas similares que no hayan sido reveladas.


Al mismo tiempo, también estamos colaborando con socios como el proyecto Tachyon para realizar pruebas adicionales, fortaleciendo aún más las defensas de seguridad, y los avances relacionados también se anunciarán posteriormente.


Resumen


Esta vulnerabilidad de Orchard plantea cuatro preguntas centrales: si la vulnerabilidad fue explotada, si los activos legítimos se pueden recuperar, si la oferta total de tokens se puede verificar y si existen otras vulnerabilidades de falsificación.


Basándonos en los resultados de la revisión actual, juzgamos que es baja la probabilidad de que la vulnerabilidad haya sido explotada anteriormente, por lo tanto, los activos de los usuarios están seguros y la oferta total de tokens también se mantiene normal por ahora. Tras repetidas pruebas por múltiples equipos independientes, también estamos cada vez más seguros de que por el momento no existen otras vulnerabilidades de falsificación no reveladas en el proyecto.


Pero hay algo que no se puede evitar: actualmente los usuarios aún no pueden verificar de manera autónoma la oferta total de tokens. La próxima actualización de la red resolverá completamente este problema. Después de la actualización, el pool de Orchard se cerrará permanentemente, y los usuarios podrán verificar de forma independiente la oferta total de tokens, sin tener que juzgar si ha ocurrido una falsificación de tokens.

Preguntas relacionadas

Q¿Se ha explotado la vulnerabilidad en el módulo Orchard de Zcash y cuáles son las razones para creer que probablemente no?

AActualmente no hay evidencia concluyente de que la vulnerabilidad haya sido explotada, pero se considera baja la probabilidad. Esto se basa en tres factores: 1) La vulnerabilidad fue descubierta proactivamente por un experto usando herramientas especializadas, no por una exposición accidental o un ataque. 2) El equipo de desarrollo actuó rápidamente para congelar el pool de Orchard y aplicar un parche, reduciendo la ventana de oportunidad para un atacante. 3) Los ataques en criptomonedas suelen buscar un beneficio rápido y dejarían rastros (como ZEC falsos moviéndose fuera del pool). No se han observado tales evidencias.

Q¿Los usuarios pueden retirar sus activos legítimos del pool Orchard y cuáles son las opciones y riesgos?

ASí, los usuarios pueden retirar sus activos legítimos, asumiendo que la vulnerabilidad no fue explotada. Si así fuera, podrían retirarlos sin problema. Existen opciones de retiro con distintos perfiles de riesgo: transferir a una dirección transparente (t-addr) que pierde privacidad, transferir al pool de privacidad Sapling (mantiene más privacidad pero depende de una ceremonia de configuración confiable de 2018), o usar billeteras como YWallet y Zkool. El artículo concluye que, dado que es probable que la vulnerabilidad no haya sido usada, dejar los activos en la billetera original es una opción segura.

Q¿Pueden los usuarios verificar por sí mismos que la oferta total de ZEC no ha sido manipulada (inflada) debido a esta vulnerabilidad?

AActualmente, no. Debido a la existencia de esta vulnerabilidad, los usuarios ordinarios no pueden verificar de forma independiente si la cantidad total de monedas en el pool de privacidad ha sido aumentada fraudulentamente. Sin embargo, la próxima actualización de la red, Ironwood, resolverá este problema al cerrar permanentemente el pool Orchard. Después de la actualización, cualquier persona que ejecute un nodo podrá verificar que la cantidad total de ZEC es correcta, ya que el protocolo evitará que se retiren más monedas de las que se depositaron legítimamente.

Q¿Qué medidas se están tomando para asegurar que no existan otras vulnerabilidades similares de creación falsa de monedas en Zcash?

AShielded Labs, en colaboración con otros equipos, ha realizado una revisión exhaustiva del protocolo Zcash centrada específicamente en buscar vulnerabilidades que permitan la falsificación de monedas. Para esta revisión, utilizaron herramientas avanzadas, incluido el modelo de inteligencia artificial Mythos de Anthropic. Hasta ahora, no se han encontrado nuevas vulnerabilidades de este tipo. Además, se están realizando auditorías adicionales en colaboración con socios como el proyecto Tachyon. Los resultados detallados de estas revisiones se publicarán en el futuro.

Q¿Cuál es la solución a largo plazo para restablecer la confianza en la integridad de la oferta monetaria de Zcash tras esta vulnerabilidad?

ALa solución a largo plazo es la actualización de la red Ironwood. Esta actualización cerrará permanentemente el pool Orchard, impidiendo nuevos depósitos y permitiendo solo retiros a través de canales que limitan la salida a la cantidad de monedas depositadas legítimamente. Esto restaurará la capacidad de cualquier usuario para verificar de forma independiente y sin necesidad de confiar en terceros que la oferta total de ZEC no ha sido inflada, lo cual es fundamental para la credibilidad a largo plazo de Zcash.

Lecturas Relacionadas

¿Una 'crisis de las hipotecas subprime' de la IA? Una deuda oculta de 1,8 billones de dólares se acumula en la sombra bajo la ola de euforia

En medio del frenesí por la infraestructura de IA, se está acumulando una deuda oculta de 1,8 billones de dólares en compromisos fuera de balance, según un informe de Morgan Stanley. Esto incluye cerca de 1 billón en compromisos de compra, más de 800.000 millones en contratos de arrendamiento no activados y acuerdos de financiación a proveedores. El apalancamiento de los grandes hyperscalers (Amazon, Meta, Google, Microsoft, Oracle) se ha disparado de 0,9x a 1,8x en dos trimestres, superando al sector energético. Su gasto de capital crece más rápido que los ingresos y el flujo de caja libre, que para algunos se acercará a cero en 2026. Además, estructuras financieras opacas mediante vehículos de propósito especial (SPV) trasladan el riesgo a la cadena de suministro y al crédito privado. Un riesgo clave es el "acantilado de depreciación": más de 520.000 millones de dólares en depreciación acumulada en tres años para cuatro grandes tecnológicas, una vez que los activos en construcción entren en operación. El informe concluye que el riesgo inmediato no es de insolvencia, sino de desfases temporales entre la inversión y la monetización, y una falta de transparencia. Si la demanda de IA no cumple las expectativas o los clientes migran a alternativas más baratas, todo el sistema financiero construido a su alrededor afrontará una prueba de resistencia extrema.

marsbitHace 4 min(s)

¿Una 'crisis de las hipotecas subprime' de la IA? Una deuda oculta de 1,8 billones de dólares se acumula en la sombra bajo la ola de euforia

marsbitHace 4 min(s)

Paul Graham: Cómo ganar mil millones de dólares

Paul Graham explica cómo es posible ganar mil millones de dólares creando una startup, refutando la idea de que tal riqueza requiere acciones inmorales. La clave está en el crecimiento exponencial, determinado por dos variables: la tasa de crecimiento mensual y cuánto tiempo puede sostenerse. Si una startup crece a un ritmo como el 15% mensual, puede multiplicar su valor miles de veces en pocos años, llevando a sus fundadores a ser multimillonarios. Este crecimiento se logra creando un producto que los usuarios amen tanto que lo recomienden a otros, lo que genera un efecto de red. Graham enfatiza que las mejores ideas surgen de proyectos personales que resuelven necesidades propias, no de buscar obsesivamente "ideas de negocio". Empresas como Apple, Facebook y Airbnb comenzaron así. Por tanto, la riqueza masiva en startups no viene de la explotación, sino de la empatía y la creación de valor real para los usuarios.

链捕手Hace 18 min(s)

Paul Graham: Cómo ganar mil millones de dólares

链捕手Hace 18 min(s)

SemiAnalysis desmonta el Kirin 9030 de Huawei: Cuando la evolución del proceso se estanca, se pliega el chip

El informe de SemiAnalysis sobre el chip Kirin 9030 de Huawei revela que el proceso N+3 de SMIC logra una densidad lógica similar a la de N6 de TSMC (113.4 MTr/mm²), pero con un coste mayor al usar SAQP con DUV en lugar de EUV. Aunque la densidad mejora, el rendimiento del chip, comparable al de diseños de 2021-2022, sigue rezagado frente a los chips actuales fabricados en nodos avanzados (como N3P de TSMC), debido a limitaciones de proceso. Para superar estas barreras, Huawei apuesta por la "escalado τ" y "LogicFolding": apilar lógicamente módulos en 3D para reducir rutas de señal, mejorar frecuencia (objetivo de 5GHz para 2031) y aumentar densidad equivalente. El informe concluye que las sanciones no han detenido el avance chino, pero sí lo han encarecido y redirigido hacia soluciones de diseño y empaquetado más complejas.

marsbitHace 51 min(s)

SemiAnalysis desmonta el Kirin 9030 de Huawei: Cuando la evolución del proceso se estanca, se pliega el chip

marsbitHace 51 min(s)

¿Cómo se moverá el precio de SpaceX antes del próximo desbloqueo de acciones?

TL;DR SpaceX ha cotizado en el mercado público como SPCX, pero no es una acción tecnológica convencional. Su narrativa, vinculada a Musk, Starlink y la exploración espacial, genera una prima de valoración. Sin embargo, tras un primer día de fuertes ganancias y una capitalización de aproximadamente 2,1 billones de dólares, la clave reside en su baja liquidez inicial: solo alrededor del 4% de las acciones están disponibles para negociar. Esta escasez de oferta, combinada con el interés de los inversores, podría mantener la presión al alza en el corto plazo, incluso antes de la primera desbloqueo de acciones. No obstante, el principal riesgo es la futura curva de oferta. Según el prospecto, tras la publicación de los resultados del Q2 (posiblemente en agosto), comenzará un proceso escalonado de desbloqueo de acciones restringidas, lo que introducirá gradualmente una oferta significativa de acciones de bajo coste en el mercado. El alto precio actual refleja grandes expectativas a largo plazo. Por ello, los próximos resultados trimestrales serán un amplificador crucial: necesitan validar la narrativa de crecimiento para sostener la valoración frente a la creciente oferta de acciones. En resumen, el juego actual de SPCX es una cuestión de tiempo y oferta. Antes del primer desbloqueo, la escasez y la narrativa pueden respaldar los precios. Después, el mercado pondrá a prueba la capacidad real de absorción de esta valuación de billones de dólares a medida que aumente la liquidez.

marsbitHace 1 hora(s)

¿Cómo se moverá el precio de SpaceX antes del próximo desbloqueo de acciones?

marsbitHace 1 hora(s)

Validación de la Estructura de Corto Plazo para el Bitcoin, Ventana de Oportunidad para Posicionarse en HYPE en Recaídas | Análisis Invitado

El análisis técnico de esta semana se centra en Bitcoin (BTC) y HYPE en un contexto de volatilidad. Para BTC, tras superar los 65,000 USD, se prevé una prueba de soporte. Si se mantiene, el siguiente objetivo de resistencia está en 69,500-70,500 USD; si se pierde, podría caer a 60,000-62,000 USD. La estrategia principal sugiere posibles posiciones cortas en la zona de resistencia alta, utilizando un 30% del capital para operaciones de diferencia de precios a corto plazo. Respecto a HYPE, completó un ajuste en cuatro fases. El precio actual encuentra soporte alrededor de 52 USD, con resistencia clave en 62.5-64.57 USD. La estrategia a corto plazo es buscar oportunidades de compra en los niveles de soporte de 52-54.5 USD o 47-49 USD si hay señales de estabilización, manteniendo la posición por debajo del 30% y con estricto control de riesgos. Se incluye un repaso de una operación anterior con HYPE que generó un beneficio del 11.88%, ejecutada siguiendo señales de modelos internos de trading y de impulso. Se enfatiza la importancia de gestionar el riesgo ajustando los puntos de stop-loss dinámicamente tras alcanzar ciertos niveles de ganancia. **Advertencia:** Los mercados son volátiles. Este análisis, basado en metodología técnica personal, es solo para fines informativos y no constituye asesoramiento de inversión. Invertir conlleva riesgos.

Odaily星球日报Hace 1 hora(s)

Validación de la Estructura de Corto Plazo para el Bitcoin, Ventana de Oportunidad para Posicionarse en HYPE en Recaídas | Análisis Invitado

Odaily星球日报Hace 1 hora(s)

Trading

Spot
Futuros

Artículos destacados

Cómo comprar ZEC

¡Bienvenido a HTX.com! Hemos hecho que comprar Zcash (ZEC) sea simple y conveniente. Sigue nuestra guía paso a paso para iniciar tu viaje de criptos.Paso 1: crea tu cuenta HTXUtiliza tu correo electrónico o número de teléfono para registrarte y obtener una cuenta gratuita en HTX. Experimenta un proceso de registro sin complicaciones y desbloquea todas las funciones.Obtener mi cuentaPaso 2: ve a Comprar cripto y elige tu método de pagoTarjeta de crédito/débito: usa tu Visa o Mastercard para comprar Zcash (ZEC) al instante.Saldo: utiliza fondos del saldo de tu cuenta HTX para tradear sin problemas.Terceros: hemos agregado métodos de pago populares como Google Pay y Apple Pay para mejorar la comodidad.P2P: tradear directamente con otros usuarios en HTX.Over-the-Counter (OTC): ofrecemos servicios personalizados y tipos de cambio competitivos para los traders.Paso 3: guarda tu Zcash (ZEC)Después de comprar tu Zcash (ZEC), guárdalo en tu cuenta HTX. Alternativamente, puedes enviarlo a otro lugar mediante transferencia blockchain o utilizarlo para tradear otras criptomonedas.Paso 4: tradear Zcash (ZEC)Tradear fácilmente con Zcash (ZEC) en HTX's mercado spot. Simplemente accede a tu cuenta, selecciona tu par de trading, ejecuta tus trades y monitorea en tiempo real. Ofrecemos una experiencia fácil de usar tanto para principiantes como para traders experimentados.

675 Vistas totalesPublicado en 2024.12.12Actualizado en 2026.06.02

Cómo comprar ZEC

Discusiones

Bienvenido a la comunidad de HTX. Aquí puedes mantenerte informado sobre los últimos desarrollos de la plataforma y acceder a análisis profesionales del mercado. A continuación se presentan las opiniones de los usuarios sobre el precio de ZEC (ZEC).

活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow