Zcash cae un 40% después de que se divulga una vulnerabilidad crítica de cuatro años — Modelo de IA ayudó a encontrar th...

Zcash sufrió uno de sus colapsos de precio más agudos en un solo día en la memoria reciente después de que los desarrolladores revelaran una vulnerabilidad crítica que había permanecido indetectada dentro del pool protegido Orchard del protocolo desde mayo de 2022.
La moneda de privacidad cayó de un máximo local de $635 a un mínimo intradía de $309 — una caída de más del 40% — antes de recuperarse parcialmente a alrededor de $330. El bug ha sido solucionado. Pero la pregunta que deja puede ser más dañina que la vulnerabilidad misma: ¿alguien la explotó durante los cuatro años que nadie supo que existía?
La respuesta, según Shielded Labs — la organización que lidera el desarrollo de Zcash — es que no hay forma criptográfica de saberlo. Esa admisión está en el centro de la crisis que enfrenta el proyecto ahora.
Lo que realmente fue el Bug
La vulnerabilidad residía en el pool protegido Orchard de Zcash — la capa de privacidad que permite a los usuarios realizar transacciones sin revelar el remitente, el destinatario o el monto en la cadena. Orchard se activó en mayo de 2022 como una actualización significativa a la arquitectura de privacidad de Zcash, reemplazando el protocolo anterior Sapling. Ha sido la base de las garantías de privacidad de Zcash durante los últimos cuatro años.
El fallo, si se hubiera explotado, habría permitido a un atacante acuñar tokens ZEC falsos ilimitados dentro del pool protegido — creando monedas de la nada — sin dejar rastro de la inflación en la cadena. Debido a que el pool Orchard está diseñado para ocultar los detalles de las transacciones, cualquier creación de tokens no autorizados que ocurriera dentro de él sería invisible para los observadores externos. La oferta parecería sin cambios mientras que la cantidad real en circulación podría haber sido inflada silenciosamente por una cantidad desconocida.
El bug fue descubierto el 29 de mayo por el ingeniero de seguridad Taylor Hornby en Shielded Labs. Crucialmente, Hornby utilizó Claude Opus 4.8 de Anthropic para ayudar en el análisis de código — y el modelo de IA jugó un papel significativo en la identificación de la vulnerabilidad. Hornby creó posteriormente una prueba de concepto funcional que generó tokens con éxito en una red de prueba, confirmando que el bug era explotable y no solo teórico. El equipo de Zcash implementó una solución de emergencia el 1 de junio.
La pregunta que no se puede responder
El aspecto más dañino de esta divulgación no es la vulnerabilidad en sí — es la imposibilidad de determinar si fue utilizada. Shielded Labs fue directo en su divulgación:
“La vulnerabilidad estuvo presente desde la activación de Orchard en mayo de 2022 hasta que se implementó la solución de emergencia el 1 de junio de 2026. Debido a las propiedades de privacidad de Orchard y la naturaleza del bug, no hay forma definitiva de determinar, utilizando solo criptografía, si tal explotación ocurrió.”
Esa declaración describe una situación que es genuinamente novedosa en la historia de las vulnerabilidades significativas en criptografía. En la mayoría de los exploits de blockchain, el daño es visible. Los fondos se mueven a direcciones de atacantes. Las suministros de tokens cambian de forma medible. Los registros de transacciones muestran la brecha. La comunidad y los desarrolladores pueden evaluar el alcance completo de lo que se tomó y comenzar un proceso de recuperación.
Con el pool Orchard de Zcash, ningún trabajo forense de ese tipo es posible. La arquitectura de privacidad que hace que Zcash sea útil como una red de pagos confidenciales es la misma arquitectura que hace imposible auditar si esta clase específica de ataque ocurrió. Las monedas de privacidad, han argumentado los críticos durante mucho tiempo, permiten una categoría única de vulnerabilidad — una en la que la explotación y sus consecuencias son inherentemente no verificables.
Lo que Shielded Labs está proponiendo
Shielded Labs ha delineado un camino hacia la restauración de la confianza en la integridad del suministro de ZEC, aunque el camino es largo y técnicamente exigente. La organización ha propuesto lanzar un nuevo pool protegido — una nueva capa de privacidad que permitiría a la comunidad verificar el volumen real de emisiones legítimas de ZEC sin la incertidumbre que ahora rodea la historia de cuatro años del pool Orchard.
Además, Shielded Labs planea realizar una verificación formal del código de la base de código de Orchard — un enfoque basado en pruebas matemáticas que demostraría la ausencia de otros bugs de esta clase con un nivel de certeza que las auditorías de seguridad estándar no pueden proporcionar. La verificación formal es intensiva en computación y lleva un tiempo significativo, pero es el enfoque más riguroso disponible para establecer confianza criptográfica en la corrección del código.
Los desarrolladores señalaron que, en su evaluación, la vulnerabilidad era poco probable que se hubiera explotado en la práctica. El fallo era lo suficientemente sofisticado como para que encontrarlo requiriera análisis de código asistido por IA — lo que sugiere que la barrera para el descubrimiento era alta para cualquier posible atacante sin acceso a herramientas comparables. En mayo, ZEC había alcanzado los $585 por primera vez desde noviembre de 2025 — un pico que ahora parece haber sido el máximo antes de que la divulgación enviara los precios a la baja drásticamente.
Lo que esto significa para las monedas de privacidad en general
La vulnerabilidad de Zcash pone de manifiesto una tensión estructural que las criptomonedas que preservan la privacidad siempre han enfrentado, pero que rara vez han confrontado directamente. Las garantías de privacidad que diferencian estas redes de blockchains transparentes como Bitcoin y Ethereum se basan en las mismas propiedades criptográficas que hacen que ciertas categorías de bugs sean indetectables después del hecho.
En una blockchain transparente, un bug de inflación de suministro deja un rastro visible. Los auditores, investigadores y la comunidad pueden determinar exactamente cuándo ocurrió, cuánto se creó y a dónde fueron esos tokens. El daño es limitado y conocible. La planificación de la recuperación puede basarse en hechos.
En un pool protegido, esa visibilidad es arquitectónicamente imposible por diseño. El mismo sistema de prueba de conocimiento cero que oculta los detalles de las transacciones de los observadores externos también oculta cualquier creación de tokens no autorizados de esos mismos observadores. Un bug de esta clase no solo es peligroso — es permanentemente incognoscible en sus consecuencias, incluso después de ser descubierto.
El precio de Zcash se ha recuperado parcialmente, pero sigue estando significativamente por debajo de los niveles anteriores a la divulgación. La nueva propuesta de pool protegido y el compromiso de verificación formal representan el camino más creíble hacia adelante disponible para el equipo de desarrollo. Si la comunidad acepta esas medidas como suficientes para restaurar la confianza en la integridad del suministro de ZEC, determinará si el colapso de precios del jueves es un shock temporal o un reetiquetado permanente del perfil de riesgo del activo.
El bug está arreglado. La pregunta que planteó no lo está.