Zcash (ZEC) tenía un bug crítico detectado por Claude
ZEC se desploma un 27 %, de lo más severo que el activo registra en años, en un movimiento desencadenado por la revelación pública de un bug crítico en el shielded pool Orchard de Zcash. La criptomoneda venía de un rally fuerte que había llevado al token cerca de los USD 637 a comienzos de la semana, impulsado por la rotación de David Hoffman (cofundador de Bankless) que vendió toda su posición de ETH para reasignar parte a ZEC, sumado a un call alcista de Arthur Hayes. La capitalización de mercado, que llegó a tocar los USD 9.800 millones, retrocedió a unos USD 7.000-7.200 millones en la jornada.
Cómo se descubrió y reportó
El bug fue identificado el 29 de mayo por el investigador independiente Taylor Hornby durante un audit del protocolo comisionado por Shielded Labs. Hornby reportó haber usado el modelo Anthropic Opus 4.8 (lanzado el 28 de mayo) junto con una herramienta de IA custom para escribir un exploit funcional que generaba ZEC counterfeit en cantidades ilimitadas dentro de un entorno de prueba local. El descubrimiento fue comunicado esa misma noche a los ingenieros del Zcash Open Development Lab (ZODL), el grupo que mantiene el protocolo. La coordinación posterior se hizo en privado con miners y exchanges antes del anuncio público.
El 1 de junio a las 22:30 EDT se ejecutó un emergency soft fork desplegando Zebra 4.5.3, que deshabilitó temporalmente todas las operaciones del shielded pool Orchard. El 2 de junio se publicó la versión Zebra 5.0.0 con el fix permanente vía hard fork NU6.2. El 3 de junio, durante el despliegue, la red sufrió un outage adicional de más de 4 horas donde no se generaron nuevos bloques (el último bloque previo se creó a las 05:27 UTC). Bajo condiciones normales, Zcash produce bloques cada aproximadamente 75 segundos.
El bug: soundness issue en el zk-proof circuit
Técnicamente, la vulnerabilidad afectaba un soundness issue en el zero-knowledge proof circuit que valida las transacciones privadas de Orchard. En términos simples, el bug permitía que el protocolo aceptara pruebas criptográficas que técnicamente no deberían ser válidas, lo que en teoría habilitaba la creación de ZEC adicional dentro del pool sin que el resto de la red pudiera detectarlo. Es lo que en cripto se denomina «undetected inflation»: la capacidad de imprimir tokens desde la nada sin que la oferta total reportada lo refleje.
Orchard es el shielded pool más nuevo y más grande de Zcash. Mantiene aproximadamente 4 millones de ZEC, la mayor parte del 30 % del supply total que está custodiado en pools privados. El bug afectaba específicamente a Orchard. Las operaciones del pool más antiguo (Sapling), de direcciones transparentes y de tokens en exchanges no se vieron comprometidas.
La paradoja de la privacidad
La criptografía que hace que Zcash sea valioso como privacy coin (la imposibilidad de un observador externo de inferir transacciones individuales) es la misma característica que ahora hace imposible verificar si el bug fue explotado antes de que Hornby lo descubriera. La Zcash Foundation declaró que «no hay evidencia de creación no autorizada de valor», y Shielded Labs estimó que la exploitation previa es improbable. Pero ninguna de las dos entidades puede probarlo criptográficamente.
Peter Todd, uno de los participantes de la ceremonia de trusted setup original de Zcash, resumió la dimensión del problema: «la privacidad de Zcash hace que los exploits de inflación sean mucho más peligrosos». Si alguien hubiera explotado el bug entre 2018 (cuando Orchard fue introducido) y mayo de 2026, podría haber generado una cantidad arbitraria de ZEC counterfeit que estaría circulando en el supply actual sin que nadie lo sepa. Y el mercado está descontando esa posibilidad.
Shielded Labs propuso el upgrade NU7.0 que incluye turnstile accounting: un mecanismo donde todo el ZEC que salga del pool Orchard hacia direcciones transparentes deberá ser auditado, permitiendo eventualmente verificar si la suma de salidas excede la suma de entradas legítimas. Es la única forma de probar matemáticamente que no hubo inflation oculta. Pero el upgrade requiere consenso de gobernanza, desarrollo adicional, y meses de implementación. Mientras tanto, el mercado opera con la incertidumbre estructural.
Críticas a la coordinación y el contexto del rally previo
Seth for Privacy, COO de Cake Wallet, criticó la coordinación del fix por considerarla excesivamente centralizada: miners principales y exchanges fueron notificados privadamente antes de la divulgación pública. Es la tensión estructural entre seguridad operacional y descentralización ideológica que las privacy coins llevan años sin resolver.
Por otro lado, ZEC venía de un rally notable. David Hoffman (Bankless) anunció el 3 de junio que había liquidado toda su posición en ETH para reasignar parte a Zcash. Arthur Hayes había emitido un call alcista. Un whale invirtió una posición short en HYPE con USD 46 millones de pérdidas para ir long ZEC. Cuando un activo viene de un rally con posicionamiento concentrado en long y aparece un catalizador adverso, la caída se amplifica por liquidaciones forzadas y toma de ganancias simultáneas.
Por Sistemas, el 06/06/2026.
Siguiente