InicioCentro de noticias de LBank
Investigador de seguridad descubre vulnerabilidad en Zcash que permite la acuñación 'ilimitada' de ZEC falsificadas; ZEC cae un 31%
zcash-vulnerability-zec-drops
Investigador de seguridad descubre vulnerabilidad en Zcash que permite la acuñación 'ilimitada' de ZEC falsificadas; ZEC cae un 31%
Un investigador de seguridad descubrió una vulnerabilidad crítica en el pool de transacciones Orchard de Zcash que podría haber permitido a los explotadores acuñar cantidades "ilimitadas" de ZEC falsificado. La vulnerabilidad se solucionó en cuestión de días, y los hallazgos sugieren que la explotación real del error es poco probable.
2026-06-05 Fuente:theblock.co

Un investigador de seguridad descubrió una vulnerabilidad crítica en el pool de transacciones Orchard de Zcash que podría ser explotada para crear una cantidad "ilimitada" de tokens falsificados dentro del pool.

Shielded Labs, una organización independiente de soporte de Zcash, publicó los hallazgos en la plataforma de redes sociales X el jueves. Informó que contrató al ingeniero de seguridad Taylor Hornby para realizar una revisión del protocolo en abril.

El anuncio coincidió con una fuerte caída en el precio de Zcash (ZEC). Cayó un 31% en las últimas 24 horas, situándose en $409.64 a las 11:00 p.m. ET del jueves, según la página de precios de ZEC de The Block. Gran parte del descenso ocurrió en las cinco horas posteriores a la publicación.

Hornby, un colaborador de larga data del ecosistema Zcash, evaluó el protocolo utilizando técnicas de investigación de seguridad tanto asistidas por IA como tradicionales para identificar vulnerabilidades antes de que pudieran ser explotadas por actores maliciosos, según la publicación.

El 29 de mayo, Hornby descubrió la vulnerabilidad del circuito Orchard utilizando el modelo Opus 4.8 recientemente lanzado por Anthropic e inmediatamente compartió los hallazgos con los ingenieros del Zcash Open Development Lab (ZODL).

El pool Orchard es el pool de transacciones blindadas de Zcash, que permite a los usuarios enviar y recibir ZEC con total privacidad de conocimiento cero. El circuito Orchard es un sistema de prueba de conocimiento cero que asegura que solo se acepten transacciones válidas en el pool.

"La vulnerabilidad era real y explotable", escribió Shielded Labs. "Taylor, con la ayuda de Opus 4.8, escribió un exploit completo que, cuando lo probó en un entorno de regtest local, generó ZEC falsificados ilimitados e indetectables".

La publicación explicó que la vulnerabilidad se originó en un elemento "subrestringido" del circuito Orchard, lo que permitía introducir entradas falsas arbitrarias en una multiplicación de curva elíptica y que aún así fueran aprobadas.

Aunque la vulnerabilidad fue parcheada el 1 de junio, ha estado presente desde la activación de Orchard en mayo de 2022, según Shielded Labs.

Explotación real improbable

Shielded Labs escribió en su publicación que las propiedades de privacidad de Orchard y la naturaleza de la vulnerabilidad hacen difícil saber si el pool había sido explotado antes de descubrir la falla.

A pesar de la incertidumbre, Shielded Labs dijo que el equipo no está "excesivamente preocupado" de que se haya producido falsificación antes de que se corrigiera el error, ya que la vulnerabilidad ha pasado desapercibida durante muchos años, incluso bajo el escrutinio de los mejores criptógrafos del mundo. 

"El descubrimiento no fue accidental, fue el resultado de un esfuerzo deliberado para identificar vulnerabilidades de este tipo antes de que los actores maliciosos pudieran hacerlo", decía la publicación. "[Hornby] utilizó las herramientas de IA más recientes, disponibles solo para investigadores de seguridad de sombrero blanco, junto con un sofisticado arnés y prompts de IA personalizados, y trabajó arduamente para adelantarse a los atacantes. Creemos que probablemente lo logró".

Aunque Shielded Labs afirmó que la explotación real de esta vulnerabilidad es improbable, su equipo está explorando una propuesta de actualización de red para permitir que cualquiera verifique la integridad del suministro de Zcash y demuestre que no hay Zcash falsificado en el pool Orchard. La propuesta también implementaría un nuevo pool blindado y aplicaría la contabilidad de torniquete a todas las monedas en el pool Orchard.

"Esta fue una vulnerabilidad grave, y creemos que es importante ser transparentes sobre lo que significa para los usuarios de Zcash", decía la publicación. "Aunque nadie desea descubrir una vulnerabilidad como esta, confiamos en que Zcash está bien posicionado para recuperarse".


Descargo de responsabilidad: The Block es un medio de comunicación independiente que ofrece noticias, investigaciones y datos. A partir de noviembre de 2023, Foresight Ventures es un inversor mayoritario de The Block. Foresight Ventures invierte en otras empresas del espacio cripto. El exchange de criptomonedas Bitget es un LP ancla para Foresight Ventures. The Block continúa operando de forma independiente para ofrecer información objetiva, impactante y oportuna sobre la industria cripto. Aquí están nuestras divulgaciones financieras actuales.

© 2026 The Block. Todos los derechos reservados. Este artículo se proporciona únicamente con fines informativos. No se ofrece ni se pretende utilizar como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.