El 5 de junio, Zooko Wilcox, fundador de Zcash, publicó una rara y extensa revisión de seguridad.
El artículo reveló que el investigador de seguridad Taylor Hornby descubrió el 29 de mayo una grave vulnerabilidad de falsificación en Orchard, la última generación de pools de privacidad de Zcash. Un atacante podría construir una transacción que originalmente no debería haber pasado la verificación y generar ZEC falsos ilimitados e indetectables dentro de Orchard.
Este no es un riesgo meramente teórico. Taylor ya ha escrito un programa de explotación completo en un entorno de prueba local, generando efectivamente ZEC falsos. Si el mismo programa se desplegara en la red principal, un atacante, en teoría, también podría generar una cantidad ilimitada de activos falsos en su propia billetera de la red principal.
Tras la divulgación de la noticia, el ZEC cayó más del 30%. Los datos de CoinMarketCap muestran que el ZEC cayó a un mínimo de 408.39 dólares en 24 horas, aproximadamente un tercio menos que su máximo simultáneo de 610.47 dólares. Lamentablemente, este fue uno de los pocos activos del mundo de las criptomonedas que recientemente generó un efecto de riqueza extremadamente favorable, con una narrativa prometedora respaldada por innumerables grandes nombres, ahora completamente destrozada por esta vulnerabilidad.
Si solo miramos el resultado, esto parece otro accidente de seguridad criptográfica familiar: se descubre una vulnerabilidad, los desarrolladores la parchan urgentemente y el mercado entra en pánico.
Sin embargo, lo realmente problemático del incidente de Orchard es que, aunque la vulnerabilidad ya ha sido parcheada, la comunidad de Zcash no puede responder directamente a otra pregunta más sensible:
En los últimos cuatro años, ¿alguien ya había explotado esta vulnerabilidad?
Reparación urgente en cuatro días, Orchard suspendió temporalmente su funcionamiento
Orchard es el nuevo protocolo de pagos privados de Zcash, lanzado en 2022, y uno de los principales pools de privacidad que utiliza actualmente Zcash. Los usuarios pueden ocultar saldos, montos de transacción y flujos de fondos, al tiempo que demuestran a la red, a través de pruebas de conocimiento cero (zero-knowledge proofs), que la transacción cumple las reglas.
Según la línea de tiempo divulgada por Zooko, Shielded Labs y la comunidad de Zcash, Taylor detectó anomalías el 29 de mayo durante una revisión de seguridad dirigida del circuito de Orchard e informó inmediatamente de la vulnerabilidad en privado al Zcash Open Development Lab (ZODL). Shielded Labs es una organización independiente de apoyo al ecosistema Zcash, con sede en Suiza, que opera con donaciones. Participa desde hace tiempo en el desarrollo del protocolo, la seguridad y la sostenibilidad de la red de Zcash, y no está afiliada a Zcash Foundation ni a ZODL.
Los ingenieros de ZODL confirmaron que el problema era real a las pocas horas de recibir el informe y comenzaron a buscar una solución. Dado que la publicación directa de un parche de código podría revelar el principio de la vulnerabilidad, el equipo optó primero por desactivar temporalmente Orchard: prohibir la creación de nuevas salidas de Orchard y también el gasto de fondos ya existentes en Orchard.
Después de coordinar las actualizaciones entre desarrolladores, mineros, operadores de nodos, exchanges y proveedores de infraestructura, la bifurcación suave (soft fork) de emergencia entró en vigor el 2 de junio. Posteriormente, Zcash actualizó la clave de verificación del circuito Orchard mediante una bifurcación dura (hard fork) y restableció la funcionalidad de Orchard el 3 de junio. Las direcciones transparentes y el pool de privacidad Sapling pudieron seguir funcionando durante este período.
Desde la divulgación de la vulnerabilidad hasta su reparación, todo el proceso solo tomó unos días. Medido por la velocidad de respuesta de emergencia, ya se trataba de una gestión bastante exitosa.
Sin embargo, el mercado no se calmó tras la reparación de la vulnerabilidad, porque la reparación resuelve el futuro, no el pasado.
Lo que preocupa al mercado no es que el ataque pueda seguir ocurriendo, sino que el ataque puede ya haber ocurrido
Los incidentes de seguridad ordinarios suelen tener una escala de pérdidas relativamente clara. Si se roban activos de un contrato inteligente, en la cadena se puede rastrear cuántos activos se transfirió el atacante; si hay una vulnerabilidad en un puente cruzado (cross-chain bridge), también se pueden contar los flujos de fondos y las direcciones afectadas.
El incidente de Orchard es diferente.
Según la explicación de Shielded Labs, esta vulnerabilidad se puede utilizar para generar ZEC falsos ilimitados e indetectables dentro de Orchard. Debido a la propia naturaleza de privacidad de Orchard, externamente es imposible probar criptográficamente de manera concluyente si alguien explotó esta vía de ataque antes de la reparación de la vulnerabilidad.
Esto significa que el mercado no se enfrenta a una cifra de pérdidas ya determinada, sino a una incertidumbre difícil de cuantificar:
Si realmente alguien descubrió y explotó la vulnerabilidad en el pasado, ¿existían ya ZEC falsos dentro de Orchard? Si existían, ¿cuál era exactamente la escala? ¿Estos activos permanecían aún en el pool de privacidad? ¿Habían salido gradualmente a través de transacciones normales?
Lo más importante es que esta ventana de riesgo no comenzó a aparecer el 29 de mayo. Shielded Labs afirma que la vulnerabilidad ha existido desde que Orchard se habilitó en mayo de 2022, hasta que se completó la reparación de emergencia en junio de 2026. En otras palabras, el problema ha estado latente durante casi cuatro años.
Lo que realmente preocupa al mercado no es lo que pudo ocurrir entre el 29 de mayo y el 2 de junio, sino si ya hubo actividades anómalas, imposibles de observar directamente, en los últimos cuatro años.
Esta es también la razón central por la que el ZEC cayó más del 30%.
Lo que el mercado está vendiendo no es solo una vulnerabilidad, sino una reevaluación de la credibilidad de la oferta.
Cómo evolucionó la omisión de una restricción matemática hasta convertirse en un riesgo de "emisión infinita"
Al ver las palabras "vulnerabilidad de emisión infinita", nuestra primera reacción es pensar que los hackers obtuvieron permisos de administrador o alguna puerta trasera del protocolo.
La realidad es más fundamental.
La seguridad de Orchard depende de un circuito de pruebas de conocimiento cero (zero-knowledge proof circuit, Orchard circuit). Los usuarios pueden ocultar los detalles específicos de la transacción, pero deben demostrar a la red que su transacción cumple las reglas del protocolo. Una de las reglas más importantes es la conservación de activos: una transacción no puede crear valor de la nada.
En pocas palabras, los usuarios pueden no revelar cuánto ZEC poseen, ni a quién transfieren cuánto ZEC, pero la red debe poder confirmar que:
Los activos gastados realmente provienen de entradas legítimas.
El problema descubierto por Taylor aparece en una verificación de multiplicación de curva elíptica dentro del circuito Orchard.
Shielded Labs lo describe como un "elemento sub-restringido" (under-constrained element), es decir, un elemento del circuito cuyas restricciones matemáticas no están completas. Debido a que la relación matemática relevante no estaba completamente restringida, un atacante podría ingresar datos incorrectos arbitrarios al proceso de multiplicación de curva elíptica, pero el proceso de verificación aún podría devolver un resultado de aprobación.
En otras palabras, el atacante no necesita descifrar algoritmos criptográficos ni controlar nodos de la red.
Solo necesitan construir un conjunto de datos que originalmente no deberían ser válidos, haciendo que el sistema crea erróneamente que la transacción aún cumple con la conservación de activos.
Cuando esta prueba errónea es aceptada por la red, los ZEC que originalmente no existían pueden considerarse activos legítimos y permanecer en Orchard.
Esta es también la razón por la que Shielded Labs utiliza una redacción extremadamente severa:
ZEC falsificados ilimitados e indetectables (unlimited, undetectable counterfeit ZEC).
El verdadero peligro no es solo que sean "ilimitados", sino que sean "indetectables".
Entre las dos afirmaciones, hay una diferencia importante
En su anuncio posterior a la actualización, Zcash Foundation declaró que actualmente no hay evidencia de que la vulnerabilidad haya sido explotada, no se detectó creación de valor no autorizada, y los fondos y la privacidad de los usuarios no se vieron afectados. El anuncio también enfatizó que el mecanismo Turnstile Accounting existente de Zcash puede rastrear el flujo de valor entre diferentes pools de fondos y proteger el límite máximo de oferta total de 21 millones de ZEC.
Al mismo tiempo, Shielded Labs declaró claramente que no es posible probar únicamente mediante criptografía que nunca haya habido ZEC falsificados en la historia de Orchard.
Estas dos afirmaciones parecen contradictorias, pero en realidad se centran en dos problemas diferentes.
El Turnstile Accounting original de Zcash puede entenderse como "compuertas" entre diferentes pools de fondos. El sistema puede contar cuántos activos legítimos ingresaron en total a Orchard y limitar la escala de activos que pueden salir de Orchard.
Suponiendo que originalmente solo hubiera 1 millón de ZEC legítimos en Orchard, entonces incluso si un atacante falsificara más activos en su interior, el sistema no permitiría que salieran más activos de la escala legítima. Esto evita que el límite máximo de oferta total de toda la red Zcash sea superado fácilmente.
Sin embargo, este mecanismo no puede probar directamente que nunca haya habido monedas falsas dentro de Orchard.
Si los activos falsificados permanecen en Orchard, o reemplazan gradualmente activos reales dentro del límite de salida legítima, el mecanismo estadístico original no necesariamente puede dar una conclusión histórica definitiva.
Sobre este proyecto de privacidad criptográfica casi histórico, lo único que podemos saber es que actualmente no se ha encontrado evidencia de emisión anormal, pero la comunidad aún no puede probar directamente que nunca haya existido activos falsificados dentro de Orchard.
Este es precisamente el tipo de riesgo más difícil de manejar para el mercado.
El problema no es cuántas monedas falsas se han descubierto, sino que nadie puede confirmar completamente que nunca hayan aparecido monedas falsas.
¿Cómo puede Zcash probar de nuevo que no hay monedas falsas en Orchard?
Reparar la vulnerabilidad es solo el primer paso.
Shielded Labs ya ha declarado que está investigando, junto con otros desarrolladores de Zcash, una nueva propuesta de actualización de la red. La propuesta incluye desplegar un nuevo pool de privacidad y hacer cumplir obligatoriamente Turnstile Accounting para todos los activos que migren desde Orchard.
Esto equivale a establecer una nueva compuerta de migración para Orchard.
Los activos en el antiguo Orchard que deseen ingresar al nuevo pool de privacidad deben completar la migración siguiendo reglas verificables. El sistema puede volver a contar la escala de activos legítimos que salen y juzgar si existen ZEC adicionales que no puedan migrarse normalmente.
Si la actualización se completa con éxito, cualquiera podrá verificar la integridad de la oferta de Zcash y, además, probar que no existen activos falsificados en Orchard.
El significado de este plan no es solo reparar el código, sino reconstruir la confianza del mercado en Orchard.
Porque en un sistema de privacidad, la confianza no proviene de "creemos que el ataque no ocurrió", sino de que "cualquiera pueda verificar que el ataque no ocurrió".
Shielded Labs mismo admite que la probabilidad de un uso malicioso previo es baja. La vulnerabilidad estuvo oculta durante años y era extremadamente difícil de descubrir; Taylor la encontró activamente en un proyecto de investigación de seguridad especializado; tras la divulgación de la vulnerabilidad, el ecosistema cerró rápidamente la ventana de ataque en pocos días.
Pero Shielded Labs también enfatiza que los usuarios no deberían depender únicamente del juicio subjetivo del equipo de desarrollo.
El mercado necesita pruebas.
Una vulnerabilidad oculta durante cuatro años, ¿por qué se descubrió ahora?
El incidente de Orchard tiene otro detalle que el mercado suele pasar por alto.
El 28 de mayo, Anthropic lanzó Claude Opus 4.8.
Un día después, Taylor descubrió la vulnerabilidad de Orchard.
Según la revisión de Zooko y Shielded Labs, poco después del lanzamiento de Opus 4.8, Taylor lo utilizó para una revisión altamente dirigida del circuito de Orchard y descubrió el problema el 29 de mayo. Posteriormente, con la asistencia de Opus 4.8, escribió un programa de explotación completo, generando ZEC falsos ilimitados e indetectables en un entorno local.
Este detalle merece atención, no porque la IA ya pueda realizar auditorías criptográficas de forma independiente.
La información pública no respalda esta conclusión exagerada.
Taylor es un investigador de seguridad experimentado. Shielded Labs también menciona que utilizó simultáneamente métodos tradicionales de investigación de seguridad, un marco de herramientas de IA personalizado y indicaciones (prompts) especialmente diseñadas. Opus 4.8 fue una herramienta importante en el proceso de revisión, pero no el único factor.
Lo realmente notable es que Taylor no utilizó Claude Mythos Preview, un modelo avanzado restringido y orientado específicamente a escenarios de ciberseguridad que Anthropic no ha abierto al público directamente, sino Opus 4.8, un modelo general recién lanzado públicamente.
La posición de Anthropic respecto a Mythos Preview es la de un modelo avanzado con capacidades significativas para descubrir y explotar vulnerabilidades. Debido al riesgo potencial de abuso, Anthropic no ha abierto este modelo directamente al público, sino que proporciona acceso a través de Project Glasswing a socios seleccionados.
En comparación, Opus 4.8 es un modelo general al que los desarrolladores comunes pueden acceder. Anthropic enfatizó en las notas de lanzamiento que tiene mejoras en análisis de código, ejecución de tareas complejas e identificación de defectos en código.
Esto hace que el incidente de Orchard envíe una señal aún más digna de atención:
La capacidad de descubrir vulnerabilidades de alto valor se está difundiendo desde unos pocos modelos de seguridad especializados hacia modelos generales.
Un modelo general lanzado públicamente solo un día antes, guiado por un investigador profesional, ya pudo participar en la revisión de complejos circuitos de pruebas de conocimiento cero y ayudar a descubrir una vulnerabilidad crítica oculta durante casi cuatro años.
Esto no significa que los expertos en criptografía ya no sean importantes.
Por el contrario, la experiencia de Taylor, la selección del objetivo de revisión y la capacidad de validar la salida del modelo siguen siendo el núcleo de todo el proceso.
Pero la combinación de expertos e IA está reduciendo significativamente el costo de descubrir vulnerabilidades complejas.
La vulnerabilidad ya está cerrada, pero el mercado aún espera respuestas
Para Zcash, la ventana de ataque más urgente ya está cerrada.
La funcionalidad de Orchard ya se ha restaurado, el circuito de verificación se ha actualizado y actualmente no hay evidencia de que la vulnerabilidad haya sido explotada maliciosamente.
Pero la caída del ZEC en más del 30% muestra que al mercado no solo le importa si el código ya está reparado.
El mercado todavía espera una respuesta más definitiva:
En los últimos casi cuatro años, ¿hubo realmente ZEC falsificados dentro de Orchard?
Si el nuevo pool de privacidad y la actualización de Turnstile Accounting pueden implementarse con éxito, la comunidad finalmente tendrá la oportunidad de demostrar la integridad de la oferta y restablecer la confianza del mercado.
Pero antes de que se complete esta demostración, el incidente de Orchard aún presenta una incertidumbre que no se puede eludir fácilmente:
Esos ZEC falsificados que teóricamente podían crearse infinitamente, ¿nunca existieron, o alguna vez estuvieron ocultos en un lugar que nadie podía ver directamente?
