Línea de tiempo de la vulnerabilidad fatal de Zcash: el precio cayó un 40% en un momento, ejemplo emblemático de auditoría con IA

Editores | Grok y otros

Zcash, como uno de los proyectos de monedas privadas más conocidos en el ámbito de las criptomonedas, es famoso por su potente función de transacciones blindadas (shielded transactions). Estas transacciones utilizan tecnología de pruebas de conocimiento cero (Zero-Knowledge Proof, abreviado ZKP), que permite a los usuarios realizar transferencias sin revelar detalles específicos como cantidades o direcciones, protegiendo así la privacidad.

En abril-mayo de 2026, el precio de ZEC experimentó un aumento significativo, alcanzando un pico de hasta un 150%, y la capitalización de mercado superó los cien mil millones de dólares. Con la regulación global cada vez más estricta y una mayor transparencia en la cadena, aumentaron las preocupaciones de los usuarios sobre activos "restringibles y monitoreables". El pool de blindaje de Zcash (especialmente el pool Orchard) ofrece protección de privacidad opcional, atrayendo a inversores que buscan activos resistentes a la censura y a la confiscación. Instituciones como Multicoin Capital han definido claramente a ZEC como una vuelta a los ideales cypherpunk, destacando que en la era de las finanzas en cadena, la privacidad será una necesidad central. Esta narrativa resuena con un entorno de mercado más amplio (como la posible discusión sobre impuestos a la riqueza), impulsando la entrada de fondos.

Las tecnologías cypherpunk (respaldadas por Winklevoss) han impulsado un aumento en la compra de ZEC, con la posesión de aproximadamente un 1.7%-2% del suministro total, convirtiéndose en importantes tenedores institucionales. Los gemelos Winklevoss (fundadores de Gemini) han apoyado a largo plazo a Zcash, realizando donaciones y aumentando sus participaciones a través de entidades afiliadas. Foundry Digital lanzó un pool de minería de ZEC a nivel institucional; fondos como Maelstrom Fund (relacionado con Arthur Hayes) también han aumentado sus tenencias. Grayscale ha presentado solicitudes para convertir Zcash Trust en el primer ETF de criptomonedas de privacidad en EE. UU. (potencialmente con ticker ZCSH). Si se aprueba, esto proporcionará una vía regulada para fondos institucionales, atrayendo potencialmente miles de millones en flujos de capital.

Sin embargo, recientemente, el pool de privacidad Orchard de Zcash sufrió una vulnerabilidad importante, provocando una fuerte volatilidad en el mercado. El equipo respondió rápidamente, implementando medidas de emergencia, desactivando temporalmente las transacciones relacionadas mediante una bifurcación suave (soft fork), y posteriormente realizando una bifurcación dura (hard fork) para solucionar el problema. No se detectaron indicios de explotación real, pero las características de diseño de privacidad también plantean desafíos para verificar la integridad del suministro. Este artículo recopila una línea de tiempo detallada basada en anuncios oficiales, foros de desarrolladores y reportes confiables, además de explicar términos técnicos clave.

¿Qué es el pool Orchard? ¿Por qué es tan importante?

Orchard es el último pool de blindaje (shielded pool) lanzado en Zcash en mayo de 2022 mediante la actualización de red NU5. A diferencia de los pools anteriores, Sprout y Sapling, Orchard se basa en el sistema de pruebas Halo 2, una tecnología avanzada de pruebas de conocimiento cero que no requiere configuración confiable (trusted setup), y que mejora significativamente la eficiencia de la privacidad y la escalabilidad.

Hasta el momento de la divulgación de la vulnerabilidad, Orchard contenía más de 4.5 millones de ZEC, representando una proporción importante del suministro total, con un valor de varias decenas de miles de millones de dólares. Es el núcleo de la arquitectura de privacidad de Zcash, aunque sus circuitos de pruebas de conocimiento cero complejos también presentan desafíos para auditorías a largo plazo.

Naturaleza de la vulnerabilidad: explicación de la falla de soundness

La vulnerabilidad en cuestión es un fallo de "soundness" (solidez) en el circuito de acciones de Orchard (que procesa las transacciones blindadas mediante pruebas de conocimiento cero). Específicamente, el circuito presenta restricciones insuficientes (under-constrained), lo que permite generar pruebas inválidas que aún pueden ser aceptadas por la red.

Explicación sencilla: en los sistemas de pruebas de conocimiento cero, la "soundness" asegura que solo las transacciones legítimas puedan pasar la validación. Si la soundness falla, un atacante teóricamente podría falsificar pruebas, permitiendo doble gasto (double-spending) en Orchard o acuñar ZEC falsos sin ser detectado. La vulnerabilidad ha estado latente desde que Orchard fue lanzado en 2022, casi 4 años.

Es importante notar que, debido al mecanismo de "turnstile" de Zcash (un sistema de control de contabilidad entre pools), incluso si se produce una anomalía en Orchard, la oferta total no se inflará indefinidamente — el turnstile limita el valor que puede salir del pool en comparación con el que entra. Sin embargo, la naturaleza de privacidad hace difícil verificar al 100% que el pool nunca haya sido explotado desde un punto de vista criptográfico.

Proceso de descubrimiento de la vulnerabilidad (29 de mayo)

El 29 de mayo de 2026: un investigador de seguridad independiente, Taylor Hornby (ex ingeniero de seguridad de Electric Coin Company, contratado por Shielded Labs para auditorías de protocolo), detectó la vulnerabilidad durante una auditoría rutinaria. Utilizó el modelo de IA Claude Opus 4.8, recientemente lanzado por Anthropic, para analizar el circuito, y logró construir un exploit completo en un entorno de prueba local, generando ZEC falsificados ilimitados.

Hornby divulgó la vulnerabilidad en privado ese mismo día a Zcash Open Development Lab (ZODL) y a la Fundación Zcash. El equipo respondió rápidamente, coordinando con mineros, exchanges y operadores de nodos.

Primera fase de respuesta de emergencia: bifurcación suave para desactivar Orchard (1-2 de junio)

Desde la noche del 31 de mayo, en coordinación privada. La primera tentativa de bifurcación suave enfrentó problemas de despliegue, por lo que el equipo realizó iteraciones rápidas.

El 2 de junio de 2026 (aprox. 2:00 UTC, bloque 3,363,426): se desplegó la actualización de emergencia Zebra 4.5.3, activando la bifurcación suave. La red requirió que los nodos y mineros rechazaran todas las transacciones y bloques que incluyeran acciones de Orchard, desactivando temporalmente las transacciones Orchard (las transacciones Sapling y transparentes permanecieron operativas). La medida buscaba prevenir posibles explotaciones durante la reparación.

Durante la transición, la red experimentó inestabilidad breve, con cadenas alternativas y bloques huérfanos. Wallets como Cake Wallet limitaron temporalmente funciones con ZEC, pero la cadena en general continuó operando.

Segunda fase de respuesta: bifurcación dura NU6.2 para reparación (3 de junio)

El 3 de junio de 2026 (aprox. 00:05 EDT, bloque 3,364,600): se activó la bifurcación dura NU6.2, soportada por Zebra 5.0.0. Esta actualización implementó el circuito de acción de Orchard corregido, introdujo nuevas claves de verificación (per-circuit verifying key) y reactivó las transacciones Orchard.

Desde la divulgación hasta la recuperación completa transcurrieron solo unos 5 días, siendo esta la segunda actualización de protocolo impulsada por seguridad en la historia de Zcash. ZODL y la fundación confirmaron que no hubo pérdidas de fondos, ni creación no autorizada de valor, y que el mecanismo turnstile no detectó anomalías, garantizando la privacidad y seguridad de los fondos de los usuarios.

Reacción del mercado y impacto en la comunidad

Tras la divulgación, el precio de ZEC sufrió una fuerte volatilidad, cayendo casi un 40%-50% desde su pico, con una pérdida de decenas de miles de millones de dólares en capitalización. Personalidades reconocidas (como Arthur Hayes) liquidaron sus posiciones, y los derivados en corto aumentaron. Sin embargo, tras la reparación, el precio se estabilizó parcialmente.

Los debates en la comunidad se centraron en: el impacto del cese del pool de privacidad en la narrativa de descentralización, el papel de la IA en auditorías de seguridad, los desafíos de mantener doble nodo (zcashd + Zebra), y la próxima actualización NU7 (con bloques más rápidos y soporte para activos blindados). Shielded Labs propuso nuevas mejoras, incluyendo nuevos pools y el fortalecimiento de la verificabilidad mediante turnstile.

Este incidente pone de manifiesto la dificultad de equilibrar privacidad extrema y auditabilidad en las monedas privadas. La respuesta rápida y profesional del equipo de Zcash fue destacable — coordinando eficazmente múltiples partes y realizando una actualización compleja en un corto plazo, un ejemplo de eficiencia en la historia de las criptomonedas.

Pero también recuerda que la naturaleza de doble filo de la privacidad requiere fortalecer continuamente la verificación formal, auditorías múltiples y herramientas de IA. La confianza en Zcash, pionero en privacidad, dependerá de futuras migraciones a nodos Zebra, mejoras en gobernanza y oportunidades institucionales (como potenciales ETF), que definirán su confianza a largo plazo.

Caso emblemático del uso de IA en auditorías de seguridad

En el evento de la vulnerabilidad de soundness en el pool Orchard de Zcash, un detalle destacado fue que el investigador de seguridad Taylor Hornby, apoyado por el modelo de IA Claude Opus 4.8 de Anthropic, logró descubrir y verificar una falla que había estado latente casi 4 años. Este proceso no solo evidenció el potencial de la IA en auditorías criptográficas complejas, sino que también ofrece una lección importante para toda la seguridad en blockchain.

Anthropic lanzó oficialmente Claude Opus 4.8 el 28 de mayo de 2026, como su modelo insignia más reciente. Este modelo alcanza niveles de vanguardia en capacidades de codificación, tareas de agente, razonamiento en contextos largos y conocimientos especializados, soportando ventanas de contexto de hasta 1 millón de tokens, e introduciendo nuevas funciones como "Workflows dinámicos" (Dynamic Workflows) y "Control de esfuerzo" (effort controls).

Hornby, como ingeniero de seguridad independiente contratado por Shielded Labs, comenzó en abril de 2026 a revisar continuamente el protocolo de Zcash. Tras el lanzamiento de Claude Opus 4.8, el día siguiente (29 de mayo), combinó el modelo con un marco de auditoría AI personalizado para revisar específicamente el circuito de acción de Orchard.

Gracias a la potente comprensión de código y razonamiento complejo del modelo, Hornby no solo identificó la insuficiencia de restricciones (under-constrained) en el circuito, sino que también logró escribir un exploit completo. En un entorno de prueba local, este exploit podía generar ZEC falsificados ilimitados e indetectables, que en el pool de privacidad eran indistinguibles del ZEC legítimo.

Este proceso combina métodos tradicionales de investigación en seguridad con las capacidades de la IA más avanzada: Claude Opus 4.8 ayudó a analizar la lógica matemática de curvas elípticas, generar casos de prueba y asistir en la construcción del código de prueba de la prueba de conocimiento, acelerando significativamente el ciclo desde el descubrimiento teórico hasta la validación práctica. Hornby divulgó responsablemente en privado la vulnerabilidad a Zcash Open Development Lab (ZODL), evitando riesgos en la red principal.

Este evento se considera un caso emblemático del uso de IA en auditorías de seguridad. Aunque en los últimos años Zcash ha pasado por auditorías manuales y verificaciones formales, los circuitos complejos de pruebas de conocimiento cero (especialmente en Halo 2 y Orchard) aún contienen áreas difíciles de cubrir completamente por humanos. La intervención de Claude Opus 4.8 demuestra las ventajas únicas de los modelos de gran escala en la detección de restricciones sutiles y en la revisión de código a gran escala.

La aplicación de Claude Opus 4.8 en la detección de vulnerabilidades en Zcash marca una transición de la IA como herramienta auxiliar a una fuerza central en la seguridad. Esto no solo acelera la respuesta (de divulgación a reparación en pocos días), sino que también establece un nuevo paradigma de "white hats" impulsados por IA en el sector cripto. Con la aparición de modelos avanzados como la serie Mythos de Anthropic, la eficiencia en auditorías de protocolos blockchain probablemente se incrementará notablemente.