Zcash (ZEC) ha experimentado una caída superior al 37% en las últimas horas después de que los desarrolladores de la criptomoneda enfocada en privacidad divulgaran públicamente una vulnerabilidad crítica que habría permitido la falsificación indetectable de tokens durante más de cuatro años.
Según datos de CoinGecko citados por Decrypt, ZEC pasó de un máximo local de 635 dólares el miércoles a tocar los 309 dólares durante la jornada del jueves. Posteriormente se recuperó ligeramente hasta los 330 dólares, manteniendo pérdidas del 37,8% en el día.
Un fallo oculto en el pool blindado Orchard
La vulnerabilidad fue descubierta el 29 de mayo por el investigador de seguridad Taylor Hornby mediante herramientas de auditoría asistidas por inteligencia artificial. El fallo residía en dos líneas de código dentro del circuito Orchard, el componente criptográfico que gobierna las transacciones blindadas de Zcash.
Según explicó Shielded Labs, la organización detrás del desarrollo de Zcash, en su comunicado oficial, el error permitía a un actor malicioso crear ZEC falsos dentro del pool blindado sin dejar ningún rastro verificable en la cadena. Si alguien hubiera explotado el fallo antes de su descubrimiento, no habría forma de demostrarlo criptográficamente.
«La vulnerabilidad estuvo presente desde la activación de Orchard en mayo de 2022 hasta que se desplegó el parche de emergencia el 1 de junio de 2026. Debido a las propiedades de privacidad de Orchard y la naturaleza del error, no existe forma definitiva de determinar, usando únicamente criptografía, si tal explotación ocurrió», señaló Shielded Labs en su publicación.
El parche de emergencia fue implementado el 1 de junio de 2026, sellando la brecha de seguridad.
El dilema estructural de las monedas de privacidad
El incidente ha reavivado el debate sobre un problema estructural de las criptomonedas centradas en privacidad. A diferencia de Bitcoin o Ethereum, donde cualquier explotación es inmediatamente visible en la cadena, monedas como Zcash crean condiciones donde un ataque exitoso podría pasar completamente desapercibido.
El comentarista cripto Udi Wertheimer señaló en redes sociales que Zcash habilita «una clase única de errores donde, si son explotados, nadie lo sabría», añadiendo que esta clase de vulnerabilidades sigue existiendo independientemente de que este bug específico haya sido corregido.
Joe Andrews, CEO de Aztec Labs, un estudio especializado en productos centrados en privacidad, explicó a Decrypt que las comprobaciones de curva elíptica mal restringidas, la categoría de fallo en el corazón de esta vulnerabilidad, están entre las debilidades más comunes en circuitos ZK en producción. Según Andrews, la inteligencia artificial está acelerando la tasa a la que se descubren estos errores en toda la industria.
La solución a largo plazo, según el ejecutivo, pasa por la verificación formal de circuitos combinada con un segundo sistema de pruebas, un enfoque que Ethereum ya está planificando. «Ambos sistemas deben estar de acuerdo para que una transición de estado sea válida, lo que reduce drásticamente las posibilidades de que se exploten errores», afirmó.
Reacciones divididas en el mercado
Arthur Hayes, ex CEO de BitMEX, reveló que liquidó toda su posición en Zcash tras conocerse la noticia. Hayes argumentó que, aunque considera extremadamente improbable que se haya producido falsificación, no puede demostrarse criptográficamente que sea imposible.
El riesgo inmediato para los poseedores no es una inflación generalizada de la cadena, sino una potencial insolvencia del propio pool Orchard. Esto significa que los tenedores de ZEC blindado podrían verse diluidos si tokens falsificados compitieran con reclamaciones legítimas por un saldo finito del pool.
No obstante, Craig Salm, director legal de Grayscale, argumentó que la explotación antes del parche era improbable. Para creer que la vulnerabilidad fue explotada, señaló, alguien habría tenido que examinar el código más exhaustivamente que todos los desarrolladores principales combinados y luego resistir la tentación de drenar el pool entero durante un mercado alcista histórico.
Propuesta de actualización con contabilidad verificable
Shielded Labs ha propuesto una actualización de red que desplegaría un nuevo pool blindado con contabilidad de torniquete, lo que permitiría a cualquiera verificar la integridad del suministro de Zcash. Andrews explicó que la estructura de esta actualización, que requiere que todas las monedas se «desblinden» antes de entrar al nuevo pool, efectivamente limita el riesgo de cualquier explotación previa al monto actual de activos blindados.
«La verificación formal de la nueva actualización reduce sustancialmente los riesgos aún más», añadió el CEO de Aztec Labs.
La vulnerabilidad pone de manifiesto los desafíos únicos que enfrentan las criptomonedas centradas en privacidad al equilibrar transparencia técnica con anonimato financiero, un debate que continuará a medida que estas tecnologías evolucionen.
Fuente: Decrypt · Esta información ha sido elaborada por la redacción de Criptonews con apoyo de herramientas editoriales automatizadas.