ZEC um dia a metade do valor após o que Claude Opus 4.8 estreia e derruba Zcash

Escreve: Shannon@金色财经

Atualização: ZEC às 15:05 caiu abaixo de 300 dólares, com uma queda de mais de 50% em 24 horas.

ZEC caiu de quase 700 dólares para 400 dólares em 24 horas, apagando o ganho do último mês. Agora as razões ficaram claras.

Afinal, não foi apenas Arthur Hayes a vender ZEC, mas também uma vulnerabilidade de segurança no Zcash que permite falsificar ZEC infinitamente.

Mais importante ainda, essa vulnerabilidade foi descoberta com a ajuda do mais recente grande modelo Claude Opus 4.8. E essa vulnerabilidade existe há 4 anos.

1. Contexto do evento

No início de junho de 2026, a criptomoeda focada em privacidade Zcash (ZEC) enfrentou uma das crises de segurança mais severas desde sua criação.

Em 29 de maio de 2026, o pesquisador de segurança independente Taylor Hornby, durante uma auditoria de protocolo encomendada pelo Shielded Labs, usou o mais recente grande modelo Claude Opus 4.8, lançado em 28 de maio pela Anthropic, para descobrir uma vulnerabilidade grave de falsificação na piscina Orchard do Zcash, que permitia a um atacante cunhar ZEC falsificado ilimitado sem ser detectado, e na mesma noite fez uma divulgação responsável ao Zcash Open Developer Labs (ZODL).

Essa vulnerabilidade estava latente desde o lançamento da piscina Orchard em maio de 2022, permanecendo oculta até que os engenheiros a desativaram nesta semana, após quase quatro anos sem ser descoberta.

2. Análise técnica: falha fatal no circuito de prova de conhecimento zero

Para entender esse evento, é preciso primeiro compreender a arquitetura técnica central do Zcash.

O que é uma prova de conhecimento zero (ZKP)? A proteção de privacidade do Zcash depende dessa tecnologia — permite que os usuários provem à rede que "essa transação é válida" sem revelar detalhes da transação. Orchard é o mais recente e avançado pool de privacidade do Zcash, usando o sistema de prova Halo2.

Causa fundamental da vulnerabilidade: o problema está em uma restrição insuficiente em um ponto do circuito Orchard, permitindo que um atacante envie uma entrada falsa para uma verificação de curva elíptica, que ainda assim passa.

De forma simples, é como uma fechadura de cofre que verifica se a chave tem a forma correta, mas devido a uma falha na lógica de verificação, chaves com formas incorretas também podem passar.

Significado de uma "falha de integridade": em projetos de provas ZK como o Zcash, "soundness" (solidez) significa que o sistema deve aceitar apenas transações e transições de estado válidas. Essa vulnerabilidade faz com que o sistema possa aceitar transações que deveriam ser rejeitadas.

Perigo específico: essa falha está na implementação do circuito Orchard na biblioteca de gadgets halo2, uma falha de solidez. Se explorada, pode permitir pagamentos duplos na piscina Orchard, mas devido ao mecanismo de "porta giratória" do Zcash que protege a oferta total, não é possível inflacionar diretamente o total de ZEC.

Marco na descoberta assistida por IA: a Shielded Labs revelou que Hornby, usando o modelo Opus 4.8 da Anthropic e ferramentas de IA personalizadas, escreveu um programa completo de exploração da vulnerabilidade, que gerou com sucesso ZEC falsificado ilimitado em um ambiente de teste local. Se usado na rede principal, a mesma ferramenta poderia gerar ZEC falsificado ilimitado e indetectável. Esta é a primeira vez que um grande modelo de IA é registrado na descoberta e na escrita de código de exploração de vulnerabilidades graves em protocolos criptográficos, marcando uma nova fase na pesquisa de segurança.

3. Resposta emergencial: uma gestão de crise exemplar

A velocidade e coordenação da equipe do Zcash merecem elogios.

Todo o processo, desde a descoberta até a correção, durou apenas cinco dias.

Primeira fase — descoberta da vulnerabilidade (29-30 de maio): em 29 de maio de 2026, Taylor Hornby descobriu uma vulnerabilidade grave de falsificação na piscina Orchard do Zcash. Hornby divulgou o problema ao Zcash Open Developer Labs (ZODL).

Segunda fase — soft fork de emergência (1º de junho): um soft fork temporário foi ativado no bloco de altura 3.363.426, por volta das 02:00 UTC, desativando as operações Orchard na rede, dando tempo aos desenvolvedores para corrigir o código.

Terceira fase — hard fork NU6.2 (2 de junho): o hard fork NU6.2 foi ativado no bloco 3.364.600, por volta das 00:05 horário da costa leste dos EUA, com o circuito corrigido, reativando Orchard. Todo o processo, de divulgação privada à ativação final, durou cerca de cinco dias.

Por que foi necessário um hard fork? Porque a correção do circuito de prova de conhecimento zero exige uma nova "chave de verificação fixa" (verifying key), que não pode ser alterada por soft fork.

Coordenação confidencial: durante a correção, a equipe deliberadamente manteve detalhes da vulnerabilidade em sigilo, coordenando com mineradores e exchanges de forma privada, para evitar que agentes maliciosos explorassem antes do patch. Essa prática de "divulgação responsável" é padrão na indústria, e foi rigorosamente seguida nesta ocasião.

4. Incerteza de mercado: o custo da privacidade

A questão mais profunda dessa crise é justamente a característica que o Zcash mais valoriza — a privacidade.

Devido ao design de privacidade do Orchard, do ponto de vista criptográfico, não é possível determinar se a vulnerabilidade foi explorada antes de sua correção.

Em outras palavras, "não há sinais de uso" não equivale a "não foi utilizado".

Essa contradição fundamental faz com que a declaração da Fundação Zcash não seja totalmente tranquilizadora.

Por isso, a Shielded Labs propôs uma nova atualização na rede Zcash, permitindo que qualquer pessoa possa verificar se a oferta de moedas privadas não foi secretamente inflacionada. Essa medida vai além do patch de emergência ativado em 3 de junho.

A própria proposta reflete um dilema eterno das blockchains de privacidade: quanto mais forte a privacidade, mais difícil provar sua integridade.

5. Exemplos históricos e lições para o setor

Não é a primeira vez que o Zcash enfrenta uma falha criptográfica grave.

Em 2019, a equipe revelou uma vulnerabilidade de falsificação não detectada há anos na antiga piscina Sprout. Essa vulnerabilidade também não teve registros de exploração conhecida, e a reação do mercado foi de confiança, não de pânico.

Reflexões mais amplas a partir desse evento:

1. IA irá transformar o cenário de auditoria de segurança. A descoberta assistida por IA significa que atacantes e defensores terão ferramentas mais poderosas. Auditorias frequentes e automatizadas com IA se tornarão padrão de segurança para protocolos de alto valor.

2. A tensão entre "privacidade" e "auditoria" continuará a se aprofundar. Os interesses de reguladores, usuários e desenvolvedores de protocolos serão cada vez mais conflitantes. Encontrar um equilíbrio entre privacidade e transparência em crises será um desafio de longo prazo para as blockchains de privacidade.

3. Capacidade de resposta rápida é diferencial competitivo. Completar o ciclo de descoberta, coordenação privada, soft fork e hard fork em cinco dias demonstra maturidade na colaboração do ecossistema. Em contraste com casos onde a coordenação falha e a vulnerabilidade permanece por mais tempo, a resposta do Zcash serve de exemplo.

4. Reconstruir a confiança do mercado leva tempo. As oscilações de preço de curto prazo refletem mais a assimetria de informações e emoções do que o valor fundamental do protocolo. O ZEC já havia subido mais de 16 vezes desde a mínima de julho de 2024, antes do incidente, e essa tendência ainda está por ser confirmada.

Conclusão

O incidente da vulnerabilidade no Orchard do Zcash é uma interseção de falhas técnicas, capacidades de IA, gestão de crise e psicologia de mercado.

Ele traça um retrato claro dos desafios que as blockchains de privacidade enfrentam na prática: quando a proteção criptográfica se rompe, a tensão entre transparência e privacidade se manifesta de forma direta.

A correção foi concluída.

Mas o verdadeiro teste será se esse ecossistema conseguirá, antes da próxima vulnerabilidade, construir defesas mais robustas e mecanismos de validação mais confiáveis.