En Resumen
- Zcash cayó un 37,8% tras revelarse una falla crítica en su pool Orchard que pudo falsificar ZEC sin dejar rastro.
- La vulnerabilidad estuvo activa desde mayo de 2022 hasta el 1 de junio de 2026, cuando se implementó una corrección de emergencia.
- Arthur Hayes liquidó toda su posición en ZEC, aunque Grayscale argumentó que una explotación real antes del parche era poco probable.
Zcash se desplomó dos dígitos durante la noche después de que los desarrolladores revelaran una vulnerabilidad crítica en el pool blindado Orchard del protocolo, que podría haber permitido falsificaciones indetectables durante más de cuatro años.
La moneda de privacidad cayó desde el máximo local del miércoles de $635 hasta un mínimo intradía de $309 el jueves, según datos de CoinGecko. Desde entonces se ha recuperado ligeramente hasta alrededor de $330, un 37,8% a la baja en el día.
— zooko🛡🦓🦓🦓 ⓩ (@zooko) June 4, 2026
La vulnerabilidad fue descubierta el 29 de mayo por el investigador de seguridad Taylor Hornby mediante herramientas de auditoría asistidas por IA.
Residía en dos líneas de código dentro del circuito Orchard, el componente criptográfico que rige las transacciones blindadas de Zcash, y permitía a un actor malicioso crear ZEC falsificado dentro del pool blindado sin ninguna firma on-chain. De haberse explotado el bug antes de su descubrimiento, no habría habido forma de probarlo.
"La vulnerabilidad estuvo presente desde la activación de Orchard en mayo de 2022 hasta que se implementó la corrección de emergencia el 1 de junio de 2026", señaló Shielded Labs, la organización detrás del desarrollo de Zcash, en una publicación de divulgación. "Debido a las propiedades de privacidad de Orchard y la naturaleza del bug, no hay forma definitiva de determinar, usando solo criptografía, si dicha explotación ocurrió".
El incidente ha reavivado el debate sobre un problema estructural que los críticos afirman va más allá del bug específico. A diferencia de Bitcoin o Ethereum, donde la explotación on-chain es inmediatamente visible, las monedas de privacidad como Zcash crean condiciones en las que un ataque exitoso podría nunca ser detectado.
"Zcash permite una clase única de bugs en la que, si son explotados, nadie lo sabría", escribió el comentarista cripto Udi Wertheimer. "Esta clase única sigue existiendo. El hecho de que hayan corregido este bug específico es irrelevante".
Las verificaciones de curvas elípticas con restricciones insuficientes, la categoría de falla en el corazón de esta vulnerabilidad, se encuentran entre las debilidades más comunes en los circuitos ZK en producción, según Joe Andrews, CEO de Aztec Labs, un estudio de productos centrado en la privacidad. El patrón no es nuevo para Zcash, afirmó Andrews, agregando que la IA está acelerando la velocidad a la que se descubren estos bugs en toda la industria.
La solución a largo plazo, le dijo Andrews a Decrypt, es la verificación formal de circuitos combinada con un segundo sistema de prueba, un enfoque que Ethereum ya está planificando. "Ambos sistemas deben coincidir para que una transición de estado sea válida, lo que reduce drásticamente las posibilidades de que los bugs sean explotados", afirmó.
La Reacción Mixta del Mercado
Arthur Hayes, ex CEO de BitMEX, reveló que había liquidado toda su posición en Zcash tras la divulgación.
El riesgo inmediato para los holders no es una inflación a nivel de toda la cadena, sino la posible insolvencia del propio pool Orchard, lo que significa que los holders de ZEC blindado podrían verse diluidos si las reclamaciones falsificadas compitieran contra las legítimas por un saldo de pool finito.
The Holy Trinity is dead. Sadly due to the Orchard Pool exploit, I had to dump our entire $ZEC bag.
- While I think it's extremely unlikely of any minting, it cannot be formally cryptographically proved impossible
- The privacy from AI, govt, big tech narrative demands perfection…— Arthur Hayes (@CryptoHayes) June 5, 2026
Sin embargo, no todos comparten esa alarma. Craig Salm, director legal de Grayscale, argumentó que la explotación antes del parche era poco probable. Para creer que la vulnerabilidad fue realmente explotada, señaló Salm, alguien habría tenido que examinar el código base más exhaustivamente que todos los desarrolladores principales juntos, y luego resistir la tentación de vaciar todo el pool durante un bull run histórico. "Me parece poco probable", escribió.
Shielded Labs ha propuesto una actualización de red que implementa un nuevo pool blindado con contabilidad de torniquete, lo que permitiría a cualquiera verificar la integridad del suministro de Zcash.
Andrews afirmó que la estructura de esa actualización, que requiere que todas las monedas salgan del blindaje antes de ingresar al nuevo pool, limita efectivamente el riesgo de cualquier explotación previa al monto actual de activos blindados. "La verificación formal de la nueva actualización reduce los riesgos sustancialmente más", añadió.