Un investigador de seguridad ha descubierto un fallo crítico en Zcash utilizando el modelo de inteligencia artificial Claude Opus 4.8 de Anthropic, una vulnerabilidad que había pasado desapercibida durante cuatro años pese a las revisiones de destacados criptógrafos especializados en conocimiento cero.
El hallazgo, que provocó una caída del 38% en el precio de ZEC el jueves, ha puesto de manifiesto una preocupación más amplia para la industria cripto: los modelos de IA más avanzados son cada vez más eficaces detectando vulnerabilidades que la mayoría de humanos.
Un cambio en el tipo de bugs que la IA puede encontrar
Ben Goertzel, fundador y CEO de SingularityNET, explica que lo relevante no es que la IA pueda encontrar bugs, sino que el tipo de fallo que ahora puede detectar ha cambiado. En lugar de señalar errores de codificación obvios, los modelos más avanzados son cada vez más capaces de razonar sobre si el software se comporta como sus diseñadores pretendían.
En mayo, Taylor Hornby, investigador de seguridad contratado por Shielded Labs, descubrió el fallo crítico en el circuito Orchard de Zcash con ayuda de Claude Opus 4.8. Oculto en dos líneas de código, el bug provenía de una comprobación que parecía validar las entradas de transacción pero en realidad no aplicaba las reglas previstas, lo que habría permitido a un atacante crear ZEC falsificado dentro del pool privado sin ser detectado.
Hornby construyó un exploit funcional para verificar la vulnerabilidad antes de reportarla a los desarrolladores. Se desplegó una corrección de emergencia el 1 de junio.
Un punto de inflexión en la investigación de seguridad
Lo que agrava el pánico que golpeó a Zcash y al mercado cripto más amplio es que el fallo llevaba más de cuatro años sin ser descubierto.
Para Goertzel, este descubrimiento marca el inicio de un nuevo modelo de investigación en seguridad. «El modelo de investigación de seguridad como un puñado de especialistas humanos venerados haciendo auditorías lentas, artesanales y profundamente expertas no desaparece, pero deja de ser el único juego», afirma.
Goertzel señala que el fallo de Orchard pertenece a una clase de bugs lógicos sutiles que los modelos de IA frontera detectan cada vez mejor, incluyendo errores en contratos inteligentes, fallos de control de acceso y situaciones donde el software se comporta de forma distinta a lo que sus diseñadores pretendían.
«Shielded Labs contratando a un investigador específicamente para cazar fallos a nivel de protocolo con un modelo frontera antes de que un actor malicioso pudiera hacerlo es, sospecho, la plantilla, no la excepción», indica Goertzel.
Atacantes y defensores en una nueva carrera
Sean Ren, CEO de Sahara AI y profesor de informática en la Universidad del Sur de California, señala que los avances en IA están reconfigurando el equilibrio entre atacantes y defensores, ya que los modelos frontera pueden probar rápidamente estrategias de ataque, aprender de los resultados y descubrir debilidades.
Ren advierte que las redes blockchain están especialmente expuestas porque su código fuente abierto puede ser analizado directamente por modelos de IA avanzados, que pueden identificar vulnerabilidades más rápido que las revisiones de seguridad tradicionales.
«Si alguien con intención maliciosa tuviera acceso a esas capacidades, podría realizar ataques y crear vulnerabilidades», advierte.
La brecha entre vulnerabilidades y correcciones se amplía
Danny Jenkins, CEO y cofundador de la firma de ciberseguridad ThreatLocker, advierte que el descubrimiento de vulnerabilidades asistido por IA mejora más rápido de lo que muchas organizaciones pueden asegurar el software del que ya dependen.
«Vamos a tener esta enorme brecha que va a llevar años y años superar. Todo este software va a tener todas estas vulnerabilidades, no vamos a tener correcciones o actualizaciones durante mucho tiempo, y la gente podrá encontrar esas vulnerabilidades muy rápidamente», señala Jenkins.
Según Jenkins, la IA no está cambiando fundamentalmente la investigación de vulnerabilidades, sino acelerándola de forma dramática. Tareas que antes requerían que investigadores de seguridad revisaran código y aplicaran ingeniería inversa manualmente ahora pueden realizarse en segundos con los modelos modernos.
Pese a estos riesgos, Goertzel argumenta que el sector cripto puede estar mejor posicionado que otras industrias para adaptarse, dado que su código es abierto y sus comunidades están altamente enfocadas en seguridad. «Cripto está más cerca de la puerta, pero también es la parte de la sala que puede ver venir la puerta», concluye.
Fuente: Decrypt · Esta información ha sido elaborada por la redacción de Criptonews con apoyo de herramientas editoriales automatizadas.