Preguntas sobre la vulnerabilidad de Zcash Orchard: ¿Fue explotada? ¿Se pueden recuperar fondos? ¿Es verificable la oferta? ¿Hay más?

Odaily星球日报Publicado a 2026-06-15Actualizado a 2026-06-15

Resumen

Resumen: El artículo aborda el reciente fallo de seguridad descubierto en Orchard, el nuevo grupo de privacidad de Zcash, y sus implicaciones. Los desarrolladores creen que es poco probable que la vulnerabilidad haya sido explotada previamente, ya que fue descubierta mediante herramientas especializadas y se actuó con rapidez para aplicar un parche. Si no se explotó, todos los fondos legítimos en Orchard son recuperables. Sin embargo, actualmente los usuarios no pueden verificar de forma independiente si la oferta total de ZEC ha sido manipulada. La próxima actualización de red Ironwood solucionará este problema al sellar el grupo Orchard, restaurando así la capacidad de los usuarios para verificar la integridad del suministro. Revisiones exhaustivas por múltiples equipos, incluyendo el uso de IA, no han encontrado otras vulnerabilidades de falsificación por el momento, aumentando la confianza en la seguridad del protocolo, pero se sigue trabajando para garantizarlo plenamente.

Autores originales: Jason McGee, CEO de Shielded Labs, y Zooko Wilcox, fundador de Zcash

Compilado por | Odaily Planet Daily Qin Xiaofeng (@QinXiaofeng 888 )

Nota del editor: El 5 de junio, hora de Beijing, se reveló que la nueva pila de privacidad Orchard del proyecto de privacidad Zcash tenía una vulnerabilidad crítica de falsificación, lo que hizo que el token ZEC de Zcash cayera a la mitad, alcanzando un mínimo de alrededor de 250 dólares. Después de unos 10 días, el pánico en el mercado se ha calmado un poco y el precio de ZEC se ha recuperado, volviendo a superar los 500 dólares hoy.

Esta mañana, el fundador de Zcash, Zooko Wilcox, publicó nuevamente un extenso artículo respondiendo a las preocupaciones del mercado. Señaló que es muy probable que la vulnerabilidad de Orchard no haya sido explotada antes, y que los fondos legítimos de Orchard pueden recuperarse; actualmente, los usuarios aún no pueden verificar por sí mismos si la oferta de Zcash excede el límite, pero la actualización Ironwood sellará la piscina Orchard y restaurará esta capacidad de verificación; en las revisiones continuas no se han encontrado otras vulnerabilidades de falsificación, pero se necesita más trabajo para estar completamente seguros.

A continuación, el texto original de Zooko Wilcox, compilado por Odaily Planet Daily, ¡disfruten!~

————————————

La reciente vulnerabilidad de Orchard ha planteado importantes cuestiones sobre la oferta de Zcash y la seguridad de los fondos de los usuarios. En la discusión se mezclan varios temas diferentes, lo que dificulta entender el impacto real de esta vulnerabilidad en los usuarios. Este artículo intenta separar estas cuestiones y explicar una por una su significado para los usuarios.

La vulnerabilidad de Orchard plantea cuatro preguntas importantes:

  1. ¿Fue explotada la vulnerabilidad de Orchard?
  2. ¿Se pueden recuperar los fondos legítimos de Orchard?
  3. ¿Pueden los usuarios verificar que la oferta de Zcash no ha sido aumentada?
  4. ¿Cómo sabemos que no existen otras vulnerabilidades de falsificación?

¿Fue explotada la vulnerabilidad de Orchard?

Desconocido. Creemos que es poco probable que haya sido explotada anteriormente, aunque no podemos descartarlo por completo. Creemos que es muy probable que la vulnerabilidad no haya sido explotada por tres razones:

A pesar de años de revisión continua por parte de muchos de los mejores criptógrafos e investigadores de seguridad del mundo, esta vulnerabilidad no había sido descubierta previamente. Su descubrimiento final no fue casual; fue encontrada por Taylor Hornby de Shielded Labs, con el propósito de identificar proactivamente este tipo de vulnerabilidades de seguridad antes de que un atacante malintencionado pudiera hacerlo. Taylor utilizó técnicas avanzadas de investigación de seguridad asistida por IA y herramientas personalizadas especialmente construidas, diseñadas específicamente para encontrar defectos sutiles que otros podrían haber pasado por alto, algo que sería más difícil para quienes no están profundamente familiarizados con el código base de Zcash.

Una vez descubierta la vulnerabilidad, los desarrolladores de Zcash (liderados por el equipo de Zcash Open Development Labs) coordinaron rápidamente con los pools de minería para congelar temporalmente el pool Orchard y desplegar un parche, limitando así la ventana de oportunidad para cualquier ataque.

Las explotaciones de vulnerabilidades en criptomonedas son comunes, y los atacantes suelen monetizarlas lo más rápido posible, especialmente después de que se hacen públicas. Para obtener ganancias de esta vulnerabilidad, un atacante necesitaría cambiar los ZEC falsificados por activos de valor, lo que generalmente haría que los ZEC salieran del pool Orchard a través del mecanismo de torniquete (turnstile). Si la vulnerabilidad hubiera sido explotada antes de ser parcheada, esperaríamos que para ahora hubiera evidencia. Históricamente, las explotaciones en criptomonedas suelen ser operaciones de "asalto", no estrategias ocultas durante meses o años como en un "ajedrez 4D".

¿Se pueden recuperar los fondos legítimos de Orchard?

Creemos que sí, porque creemos que la vulnerabilidad nunca fue explotada. Si esta evaluación es correcta, todos los fondos legítimos de Orchard aún pueden recuperarse por completo.

Por otro lado, si ocurrió una falsificación dentro de Orchard, el mecanismo de torniquete existente limitaría la migración total a la cantidad de ZEC que entró legítimamente en ese pool. Por lo tanto, si los fondos falsificados migraran antes que los legítimos, los usuarios no podrían recuperar parte o la totalidad de sus fondos legítimos de Orchard.

Creemos que este escenario es poco probable. Sin embargo, para los usuarios más cautelosos, aún se recomienda transferir sus ZEC fuera de Orchard. Pero antes de hacerlo, deben entender lo siguiente:

  • Transferir fondos a un pool transparente (es decir, a una dirección t) revela tanto el monto como el momento de la transferencia, y esos fondos quedarán públicamente asociados a esa dirección t.
  • Transferir fondos desde el pool Orchard al pool Sapling revela el monto y el momento de la transferencia, pero a diferencia de transferir a una dirección t, no asocia esos fondos a una dirección específica o a un historial de transacciones.
  • El pool Sapling depende de la ceremonia de configuración de confianza realizada en 2018. Confiar en la seguridad de esta configuración de confianza es un riesgo adicional que los usuarios deben tener en cuenta.
  • Hasta donde sabemos, YWallet y Zkool son actualmente las únicas billeteras de autocustodia de Zcash ampliamente utilizadas que admiten el pool Sapling.
  • Transferir fondos a una nueva billetera o a un servicio de custodia introduce riesgos adicionales, incluidos errores del usuario, defectos del software, riesgos del custodio u otros problemas imprevistos.

En general, creemos que el nivel de riesgo mencionado anteriormente es moderado. Si tus fondos están actualmente en una billetera de autocustodia blindada, dejarlos allí es una opción razonable, dada nuestra evaluación de que es poco probable que haya ocurrido una falsificación previa. Si tienes una forma segura de hacerlo, también podría ser razonable transferirlos a otro lugar. Los usuarios pueden llegar a conclusiones diferentes según su situación.

¿Pueden los usuarios verificar que la oferta de Zcash no ha sido aumentada?

Actualmente no. La existencia previa de esta vulnerabilidad impedía que los usuarios verificaran de forma independiente si la cantidad de ZEC en circulación en los pools blindados actuales no supera la cantidad correcta.

Sin embargo, como señalamos en un artículo anterior, la actualización Ironwood restaura esta capacidad. El siguiente gráfico explica por qué.

La actualización de red propuesta aborda este problema al agregar la garantía de que "no existen más vulnerabilidades de falsificación desconocidas" y al sellar el pool Orchard. Los nuevos fondos ya no pueden entrar, y los fondos dentro del pool ya no pueden circular. El único camino restante es salir a través del mecanismo de torniquete existente, que garantiza que no salga más ZEC del pool Orchard del que entró legítimamente.

Este cambio restaura la capacidad de verificar la solidez de la oferta de Zcash.

Actualmente, si hay fondos falsificados en el pool Orchard, pueden continuar circulando dentro del mismo. Después de la actualización, esto ya no será posible. Independientemente de si ocurrió o no una falsificación, cualquier persona que ejecute un nodo podrá verificar que la cantidad de ZEC en circulación no excede la cantidad correcta.

Los usuarios no necesitan esperar a que los fondos migren desde Orchard, ni inferir el posible comportamiento de atacantes u otros usuarios. El protocolo en sí proporciona una garantía verificable: el exceso de ZEC no puede continuar circulando dentro de Orchard e inflar la oferta.

Esto es importante porque la credibilidad a largo plazo de Zcash depende de que los usuarios puedan verificar por sí mismos la solidez de su oferta. Ironwood restaura la capacidad de los usuarios para verificar de forma independiente si se cumplen los límites de oferta del protocolo.

¿Cómo sabemos que no existen otras vulnerabilidades de falsificación?

Actualmente no podemos estar completamente seguros, pero tenemos razones para creer que no hay otras. Shielded Labs y otros equipos han estado revisando cuidadosamente el protocolo de Zcash en busca de otras vulnerabilidades de falsificación. Esto incluye, con la ayuda de Anthropic, el uso de un modelo de IA Mythos aún no lanzado para buscar vulnerabilidades adicionales poco antes de que Mythos fuera pausado. Planeamos compartir más detalles sobre esta revisión y sus hallazgos en una publicación de blog posterior.

Hasta ahora, no se han encontrado otras vulnerabilidades de falsificación. El alto nivel de experiencia involucrado en esta búsqueda, el esfuerzo realizado y el análisis avanzado asistido por IA nos dan mayor confianza en que no hay vulnerabilidades similares que sigan sin ser descubiertas.

Además, estamos colaborando con proyectos como Tachyon Project para proporcionar garantías adicionales de que no existen más vulnerabilidades de falsificación en Zcash. También explicaremos esto más a fondo en futuras publicaciones de blog.

Conclusión

La vulnerabilidad de Orchard presenta cuatro preguntas importantes: si la vulnerabilidad fue explotada, si se pueden recuperar los fondos legítimos de Orchard, si los usuarios pueden verificar que la oferta de Zcash no ha sido aumentada, y si existen otras vulnerabilidades de falsificación no descubiertas.

Creemos que es poco probable que haya sido explotada anteriormente, por lo que los fondos legítimos de Orchard pueden recuperarse y la oferta actual de Zcash es segura. Basándonos en las revisiones continuas de múltiples investigadores y equipos independientes, también tenemos cada vez más confianza en que no existen otras vulnerabilidades de falsificación no descubiertas. Sin embargo, actualmente los usuarios no pueden verificar la seguridad de la oferta de Zcash, y no deberían depender de nuestra evaluación, ni de la de cualquier otra persona.

La actualización de red propuesta resuelve este problema. Al sellar el pool Orchard, restaura la capacidad de los usuarios para verificar de forma independiente la seguridad de la oferta de Zcash. Los usuarios ya no necesitan juzgar si ocurrió una falsificación para verificar si se cumplen los límites de oferta del protocolo.


Preguntas relacionadas

Q¿Se ha explotado alguna vez la vulnerabilidad de Orchard en Zcash?

ADesconocido. Los autores consideran que es poco probable que haya sido explotada, aunque no pueden descartarlo por completo. Presentan tres razones: fue descubierta por investigadores de seguridad avanzados, no por atacantes; se solucionó rápidamente limitando la ventana de oportunidad; y no hay evidencia de movimientos sospechosos masivos de ZEC, típicos de explotaciones anteriores en criptomonedas.

Q¿Se pueden recuperar los fondos legítimos almacenados en el grupo de privacidad Orchard?

ASí, según los autores, siempre y cuando la vulnerabilidad no haya sido explotada previamente. Si no hubo falsificación, todos los fondos legítimos en Orchard son totalmente recuperables. Sin embargo, si se hubieran creado ZEC falsos y se hubieran retirado antes que los legítimos, estos últimos podrían no recuperarse en su totalidad debido al mecanismo de control de salida ('turnstile').

Q¿Pueden los usuarios verificar actualmente que la oferta total de Zcash no ha sido inflada?

ANo, en este momento no pueden. La existencia pasada de la vulnerabilidad de Orchard impide que los usuarios verifiquen de forma independiente si la cantidad de ZEC en circulación en los grupos blindados es correcta. Esta capacidad de verificación se restaurará con la actualización de red Ironwood, que sellará el grupo Orchard.

Q¿Cómo se asegura la comunidad de Zcash de que no existen otras vulnerabilidades de falsificación similares?

ANo se puede estar completamente seguro, pero hay razones para ser optimistas. Varios equipos, incluido Shielded Labs, están realizando auditorías exhaustivas del protocolo, incluso con ayuda de modelos de IA avanzados (como el modelo Mythos de Anthropic). Hasta ahora, no se han encontrado otras vulnerabilidades de este tipo, lo que aumenta la confianza. También se está colaborando con proyectos como Tachyon para ofrecer garantías adicionales.

Q¿Qué solución propone la actualización Ironwood para el problema de verificación de la oferta monetaria?

ALa actualización de red Ironwood propuesta resuelve el problema sellando el grupo Orchard. Esto significa que no podrán entrar nuevos fondos ni circular los existentes dentro de él. La única salida será a través del mecanismo de control existente ('turnstile'), que garantiza que no salga más ZEC del que entró legítimamente. Esto permitirá a cualquier persona que ejecute un nodo verificar que la oferta total de ZEC no excede la cantidad correcta, restaurando la capacidad de auditoría independiente por parte de los usuarios.

Lecturas Relacionadas

¿Por qué está todo el mundo nervioso por la subida de tipos de Japón?

En junio de 2026, el Banco de Japón elevó los tipos de interés al 1%, su primer aumento significativo desde 1995. Aunque esta cifra sigue siendo baja comparada con Estados Unidos o Europa, marca un cambio de rumbo crucial para la economía global. Japón, tras casi tres décadas de tipos cero o negativos, había actuado como el principal centro de financiación barata del mundo. A través del conocido "carry trade del yen", los inversores internacionales tomaban préstamos en yenes de bajo coste para invertir en activos de mayor rendimiento en todo el mundo, impulsando así mercados bursátiles, bonos y bienes inmuebles a nivel global. La decisión del banco central japonés responde a un cambio estructural interno: una inflación sostenida por encima del objetivo del 2%, un crecimiento salarial notable tras décadas de estancamiento, y la presión del yen débil. Sin embargo, la preocupación global no se centra en el nivel del 1%, sino en la tendencia. Si Japón abandona permanentemente su política de dinero ultrabarato, podría desencadenar un proceso de desapalancamiento a escala mundial. Los inversores que dependían de financiación barata en yenes podrían verse forzados a revaluar sus estrategias y reducir riesgo, lo que contraería la liquidez global y afectaría a la valoración de los activos de riesgo. No obstante, la dirección final de los flujos de capital la marcará principalmente la política de la Reserva Federal de EE.UU. Mientras persista un amplio diferencial de tipos entre EE.UU. y Japón, el atractivo del dólar seguirá siendo fuerte. El verdadero punto de inflexión se produciría si la Fed inicia un ciclo de recortes mientras Japón sigue subiendo los tipos. En definitiva, el movimiento del Banco de Japón simboliza el posible fin de una era de financiación ilimitada y barata, lo que obligaría a los mercados globales a redefinir sus lógicas de inversión y riesgo.

marsbitHace 37 min(s)

¿Por qué está todo el mundo nervioso por la subida de tipos de Japón?

marsbitHace 37 min(s)

El Congreso Aplaza la Prohibición de la CBDC hasta 2030 mediante una Importante Ley de Reforma de Vivienda

Los legisladores han aprobado un proyecto de ley de reforma de vivienda, la "Ley del Camino a la Vivienda del Siglo XXI", que incluye una prohibición temporal hasta el 31 de diciembre de 2030 para que la Reserva Federal emita un dólar digital (CBDC). La medida, integrada en esta legislación bipartidista más amplia, define el CBDC como un activo digital denominado en dólares y accesible para todos los estadounidenses. Sus defensores argumentan que esta pausa permite más tiempo para evaluar los impactos potenciales, reflejando preocupaciones sobre privacidad, vigilancia financiera y el papel del gobierno en los pagos digitales. La prohibición se aplicaría a cualquier CBDC minorista, ya sea emitida directamente por la Fed o a través de intermediarios, aunque se contemplan excepciones para dólares digitales privados que mantengan un nivel de privacidad comparable al efectivo físico. Aunque el foco del proyecto de ley son las reformas para mejorar la vivienda asequible y la oferta, la cláusula sobre el CBDC ha captado una atención significativa en la comunidad cripto, ya que podría influir en el futuro de los pagos digitales y en el debate sobre el lugar de los activos digitales en el sistema financiero del país. El desarrollo del proceso legislativo determinará si la prohibición entra en vigor durante la próxima década.

TheNewsCryptoHace 1 hora(s)

El Congreso Aplaza la Prohibición de la CBDC hasta 2030 mediante una Importante Ley de Reforma de Vivienda

TheNewsCryptoHace 1 hora(s)

Interpretación de informe: MRVL, el auge de la IA óptica, ¿por qué un analista estrella de Morgan Stanley opta por mantenerse neutral ante la alta valoración?

**Resumen: Análisis de Morgan Stanley sobre Marvell - IA óptica despega, pero la valoración alta frena al analista** El analista Joseph Moore de Morgan Stanley actualizó su informe sobre Marvell (MRVL) el 28 de mayo. A pesar de unos resultados récord y una fuerte mejora en las perspectivas anuales de la dirección, Moore mantiene una calificación **"Equal-Weight" (Neutral)** y un precio objetivo de **$195**. **Motivos para el optimismo (impulsores de la IA):** 1. **Interconexión óptica**: Expectativas de crecimiento para FY27 elevadas a más del 70%. La línea de módulos ópticos podría alcanzar ingresos anualizados de $1,000 millones pronto. 2. **Chips personalizados para IA**: Creciente confianza en el crecimiento para FY28, con un nuevo gran cliente entrando en producción masiva ese año. **Motivo para la cautela (valoración):** El precio objetivo de $195 implica una valoración de ~40x las ganancias esperadas para 2027. Moore señala que, a precios de acción similares (~$198 vs ~$212), **Nvidia** ofrece más del doble de ganancias por acción esperadas para el próximo año fiscal que Marvell. La valoración actual de MRVL ya refleja un crecimiento futuro impecable. **Conclusión del analista:** La oportunidad en IA es real, pero el precio de la acción ya la descuenta. Para justificar la valoración, Marvell necesita ejecutar perfectamente en: 1) el despliegue continuo de óptica, 2) la rampa de producción de sus chips personalizados, y 3) la recuperación de sus negocios de almacenamiento y redes empresariales. Hasta ver más evidencia, se mantiene Neutral.

marsbitHace 1 hora(s)

Interpretación de informe: MRVL, el auge de la IA óptica, ¿por qué un analista estrella de Morgan Stanley opta por mantenerse neutral ante la alta valoración?

marsbitHace 1 hora(s)

Un país que ha estado minando Bitcoin durante 8 años construye un banco de cifrado exclusivo

“Un país que ha extraído bitcoins durante 8 años construye un banco exclusivo para criptomonedas” Bután, un pequeño país del Himalaya conocido por su índice de Felicidad Nacional Bruta, ha creado el Banco DK en su nueva Ciudad de Atención Plena de Gelephu (GMC). Esta entidad, regulada por la Autoridad Monetaria Real, nace para cubrir la falta de servicios bancarios para empresas de criptomonedas, un sector que muchos bancos evitan por sus desafíos de cumplimiento. El CEO del banco, Zheng YD, explica que ofrecen cuentas integradas que manejan tanto monedas fiduciarias como criptoactivos (como USDT y USDC) en un solo lugar, junto con custodia, préstamos respaldados por Bitcoin y canales de entrada y salida. La infraestructura técnica fue un gran desafío para fusionar sistemas bancarios tradicionales y mercados cripto que operan 24/7. La GMC opera bajo un sistema especial de "un país, dos sistemas", con un marco regulatorio inspirado en las leyes de Singapur y las normas de Abu Dhabi (ADGM), permitiendo vías rápidas de concesión de licencias para empresas ya reguladas en esas jurisdicciones. Bután no es nuevo en el ecosistema. Lleva minando Bitcoin a escala nacional desde 2019, aprovechando su energía hidroeléctrica. Los responsables subrayan que no apuestan solo por Bitcoin, sino que buscan una cartera diversificada que incluye stablecoins y tokenización de activos reales para mitigar riesgos. La visión es que GMC se convierta en un centro financiero para el sur de Asia, ofreciendo una alternativa de infraestructura soberana en un panorama financiero global dominado por grandes potencias. El proyecto aún está en desarrollo, con un aeropuerto internacional previsto para 2029 y un visado para nómadas digitales en fase de prueba.

Foresight NewsHace 2 hora(s)

Un país que ha estado minando Bitcoin durante 8 años construye un banco de cifrado exclusivo

Foresight NewsHace 2 hora(s)

Kraken Lanza Futuros Perpetuos Regulados por la CFTC para Traders Profesionales Estadounidenses

Kraken ha lanzado futuros perpetuos regulados por la CFTC para clientes institucionales y profesionales estadounidenses elegibles, a través de su integración con Bitnomial y los servicios de NinjaTrader Clearing. Los contratos, disponibles en Kraken Pro, cubren activos como BTC, ETH y SOL, y utilizan una estructura de tasa de financiación de ocho horas. Este movimiento lleva al mercado estadounidense un producto derivado clave que tradicionalmente operaba en plataformas extranjeras, ofreciendo a los traders profesionales una alternativa regulada. Sin embargo, el producto no está dirigido al mercado minorista. Su éxito dependerá de si puede generar suficiente liquidez para competir con las plataformas offshore, lo que podría señalar una madurez creciente del mercado de derivados de cripto en EE.UU.

bitcoinistHace 2 hora(s)

Kraken Lanza Futuros Perpetuos Regulados por la CFTC para Traders Profesionales Estadounidenses

bitcoinistHace 2 hora(s)

Trading

Spot
Futuros
活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow