Zcash perdió más de 5.000 millones de dólares en valor de mercado después de que sus desarrolladores, utilizando la IA Claude de Anthropic, descubrieran una falla de larga data en uno de sus sistemas de privacidad que podría haber permitido la creación de tokens falsificados sin una detección fácil.
En respuesta a esta revelación, los datos de CryptoSlate mostraron que ZEC cayó más del 50% hasta alcanzar un mínimo de 255 dólares antes de recuperarse hasta aproximadamente 321 dólares al momento de publicar esta noticia. Esto representa un fuerte revés para un activo que había subido más del 1.000% en el último año, mientras los traders reavivaban una apuesta más amplia por la privacidad financiera.
La caída de precios hizo que la capitalización de mercado del token enfocado en la privacidad bajara de unos 10.000 millones de dólares a aproximadamente 4.500 millones durante el período informado. Ha subido a 5.300 millones de dólares al momento de publicar esta noticia.
Capitalización de mercado de Zcash (Fuente: Tradingview)
Aun así, los desarrolladores de Zcash sostienen que la vulnerabilidad fue encontrada antes de que los atacantes pudieran aprovecharse de ella, se parcheó en cuestión de días y se resolvió mediante una actualización de emergencia de la red.
No obstante, la revelación planteó una pregunta aún más difícil para los inversores de Zcash: cuánta seguridad requieren los mercados cuando el sistema afectado está diseñado para ocultar las cantidades de transacciones y los historiales de billeteras por diseño.
Un rally de dinero privado se desploma tras una revelación pública
Zcash fue lanzado en 2016 como uno de los primeros intentos de crear dinero digital privado. A diferencia de Bitcoin, cuyo libro mayor permite a cualquiera rastrear saldos y transacciones,
Zcash permite a los usuarios mover fondos a través de direcciones blindadas que ocultan las cantidades, los remitentes y los destinatarios. Este diseño le ha dado al token una relevancia renovada, ya que gobiernos, exchanges y firmas de análisis han ampliado su capacidad para monitorear blockchains públicas.
Los datos de Zechub muestran que aproximadamente el 30% de ZEC en circulación, equivalente a más de 5 millones de monedas, ahora se encuentra en direcciones blindadas.
Suministro blindado de Zcash (Fuente: Zechub)
El reciente rally reflejó ese cambio. Los traders habían tratado a ZEC como uno de los vehículos más claros para una operación de privacidad, ayudados por la creciente ansiedad sobre la vigilancia, la inteligencia artificial y el acceso estatal a datos financieros.
Sin embargo, ese impulso se revirtió abruptamente después de que Shielded Labs publicara una revelación detallada sobre una vulnerabilidad en Orchard, el pool blindado más avanzado de Zcash.
[
Leer también
Se rumoreaba que Zcash había dejado de funcionar – luego se convirtió en el único ganador de las criptomonedas
Zcash repuntó después de que se parcheara una falla crítica en Orchard, incluso cuando los mercados criptográficos más amplios estaban bajo presión de liquidación.
4 de junio de 2026 · Oluwapelumi Adejumo
Shielded Labs dijo que la falla fue descubierta el 29 de mayo por Taylor Hornby, un ingeniero de seguridad contratado en abril para buscar vulnerabilidades en el protocolo antes de que actores maliciosos las encontraran.
Hornby utilizó el modelo de inteligencia artificial Opus 4.8 de Anthropic mientras realizaba una revisión dirigida del circuito criptográfico de Orchard.
La revisión encontró un error que podría haber permitido a un atacante crear ZEC falsificada dentro de Orchard sin ser detectada. Shielded Labs dijo que Hornby escribió un exploit completo y lo probó en un entorno local, donde generó ZEC falsificada ilimitada que parecía válida.
Hornby comunicó inmediatamente el problema al Laboratorio de Desarrollo Abierto de Zcash, que coordinó una respuesta de emergencia.
Luego, los desarrolladores de la red introdujeron un cambio temporal en la red para desactivar las acciones afectadas de Orchard antes de implementar una actualización de hard-fork que corrigió la vulnerabilidad y restauró la funcionalidad completa.
El error estuvo en el pool blindado de Zcash durante años
La vulnerabilidad era especialmente sensible porque Orchard ha estado activo desde mayo de 2022. Eso significa que la falla existió durante cerca de cuatro años a pesar de repetidas revisiones por parte de criptógrafos, ingenieros y auditores.
Total de tokens en el pool Orchard de Zcash (Fuente: Zechub)
Para un lego, el problema puede entenderse como una falla en el reglamento que rige las transacciones privadas de Zcash.
Una transacción blindada incluye una prueba matemática que demuestra que cumplió con las reglas del protocolo sin revelar la cantidad o el historial de las monedas. En el caso de Orchard, una de esas reglas estaba escrita de manera suficientemente flexible para que información falsa pudiera pasar como válida.
Esencialmente, esa falla estaba en la implementación del circuito de Orchard, el conjunto de instrucciones que determina si una transacción privada debe ser aceptada.
En una blockchain transparente, un problema de suministro es más fácil de inspeccionar porque los saldos y transferencias son visibles. En un pool blindado, el sistema oculta deliberadamente esa información, y los usuarios confían en la corrección del circuito para asegurar que cada transacción privada cumpla con las reglas.
Mert Mumtaz, cofundador y CEO de Helius, señaló que la mayoría de los protocolos de privacidad tienen esta vulnerabilidad, argumentando que:
“En teoría, con un protocolo de privacidad zk (no solo Zcash), podrías tener un error en un circuito que infla el suministro siempre que alguien extremadamente sofisticado lo encuentre y lo explote sin ser detectado (la diferencia con un exploit defi normal es que es más difícil de detectar).”
Esta es una de las razones por las que la reacción del mercado ante el caso de Zcash fue tan severa.
Mientras los desarrolladores de Zcash dijeron que no había evidencia de que el error hubiera sido explotado, y varios partidarios de Zcash argumentaron que la rápida revelación y el parche demostraron que el proceso de seguridad de la red estaba funcionando.
Como contexto, Gemini, cofundador Cameron Winklevoss dijo:
“Zcash cuenta con criptógrafos, ingenieros de seguridad e investigadores de seguridad incomparables. Y la comunidad está muy centrada en la mejora continua y en fortalecer la red. Por eso contrata a investigadores de seguridad de clase mundial para buscar errores. Y por eso se encontró el potencial exploit reciente. No fue por accidente y es un voto de confianza, no motivo de alarma.”
Sin embargo, las monedas de privacidad enfrentan un margen más estrecho para la duda. Su valor depende no solo de la secrecía sino de la confianza de que la secrecía no haya debilitado las garantías monetarias subyacentes.
Debido a esto, BitMEX, cofundador Arthur Hayes dijo que vendió toda su posición en ZEC tras reevaluar la tesis de privacidad. Hayes dijo que era poco probable que se hubieran creado ZEC falsificadas, pero la incapacidad de probar formalmente ese punto cambió su forma de ver la operación.
Dijo:
“La privacidad frente a la narrativa de IA, gobierno y grandes tecnologías exige perfección, no improbabilidad.”
Shielded Labs reconoció directamente la incertidumbre y admitió que no había una forma definitiva de determinar mediante criptografía sola si se había producido una explotación antes de la corrección.
La solución propuesta traslada la carga nuevamente a la verificación
Debido a la incertidumbre actual en el mercado, Shielded Labs propuso una actualización de la red que crearía un nuevo pool blindado y utilizaría contabilidad de torniquete para las monedas que migraran fuera de Orchard.
Los observadores del mercado señalaron que esta propuesta es un intento de responder a la preocupación central del mercado. Si Zcash no puede probar solo con los registros internos de Orchard que nunca se crearon monedas falsificadas, podría intentar forzar una ruta de migración que reconcilie el valor conforme las monedas pasen a un nuevo sistema.
Ese proceso sería técnicamente complejo y socialmente sensible. Si no existe ZEC falsificada, la migración podría ayudar a restablecer la confianza. Si surgiera una discrepancia, la comunidad enfrentaría preguntas más difíciles sobre qué saldos deberían honrarse y cómo proteger a los usuarios que tenían fondos en el pool afectado.
Mientras tanto, Josh Swihart, fundador de la firma especializada en Zcash ZODL, dijo que el problema más importante a largo plazo es cómo evitar que vuelvan a ocurrir vulnerabilidades similares. Se refirió a la verificación formal, un proceso que utiliza pruebas matemáticas para confirmar que la implementación de un circuito coincide con sus reglas previstas.
La verificación formal reduciría la dependencia de la revisión humana de un reglamento extenso y complejo. En lugar de pedir a los auditores que detecten cada caso límite mediante inspección, los desarrolladores pueden crear una especificación concisa y usar pruebas verificadas por computadora para comprobar que la implementación la sigue.
Este enfoque se vuelve más importante a medida que los sistemas de privacidad se vuelven más sofisticados. Orchard fue construido para el rendimiento y contiene casos especiales que dificultan su revisión manual. Un circuito más simple y verificado formalmente podría reducir la superficie para este tipo de errores.
Los desarrolladores de Zcash y equipos afiliados están llevando a cabo múltiples esfuerzos de seguridad, incluyendo el trabajo continuo con Hornby, la verificación formal del circuito de Orchard y nuevas contrataciones de seguridad.
Shielded Labs también dijo que pronto podría presentarse una propuesta detallada para mejoras en la verificación del suministro.
La IA convierte viejos errores en riesgos inmediatos para el mercado
La revelación de Zcash pone de relieve un cambio fundamental en la economía de la seguridad del software. Aunque la inteligencia artificial no creó la vulnerabilidad de Orchard, comprimió drásticamente el plazo entre un riesgo oculto y su descubrimiento público.
Esta aceleración plantea un desafío sistémico para el sector más amplio de activos digitales.
Los protocolos de criptomonedas dependen de código abierto y lógica financiera compleja para gobernar enormes reservas de capital, lo que los hace objetivos muy atractivos. Las aplicaciones de finanzas descentralizadas (DeFi), los puentes entre cadenas y las blockchains de nivel 1 han sufrido todos de fallas fundamentales que se pasaron por alto en las auditorías iniciales.
Esta amenaza avanza lo suficientemente rápido como para alarmar a veteranos de la industria. El mes pasado, Manuel Aráoz, cofundador de OpenZeppelin, instó a los inversores a salir completamente de DeFi, advirtiendo que los agentes de IA ahora son capaces de identificar vulnerabilidades mucho más rápido que los revisores humanos.
La precaución llega cuando el sector DeFi enfrenta una presión creciente, habiendo perdido más de 1.100 millones de dólares por exploits en el último año.
Claude Mythos por parte de Anthropic. El modelo de IA buscador de vulnerabilidades fue considerado demasiado peligroso para su lanzamiento público por la empresa con sede en San Francisco, subrayando el potencial de pérdidas repentinas e irreversibles si estas herramientas caen en manos equivocadas.
En una entrevista con CryptoSlate, Deddy Lavid, director ejecutivo de la firma de seguridad blockchain Cyvers, destacó la magnitud del problema, estimando que la exposición financiera del sector a exploits impulsados por IA oscila fácilmente entre cientos de millones y miles de millones de dólares.
En última instancia, la IA presenta una espada de doble filo para la infraestructura blockchain. A medida que estos modelos se vuelven más sofisticados, reducen drásticamente el costo y el esfuerzo necesarios para que los atacantes encuentren debilidades, mientras que al mismo tiempo brindan a los investigadores defensivos las herramientas para parchearlas más rápido.
Esta realidad de uso dual moldeó la respuesta de destacados ejecutivos de criptomonedas. Barry Silbert, presidente de Grayscale, enmarcó el episodio de Zcash como clara evidencia de que los activos digitales han entrado plenamente en un entorno de amenazas «habilitado por IA».
Con todo, los defensores de la industria sostienen que los fundamentos de la defensa de los protocolos siguen siendo los mismos.
Gemini, cofundador Tyler Winklevoss señaló que la seguridad del software siempre ha sido una carrera continua entre desarrolladores y actores maliciosos.
Según él, la inteligencia artificial simplemente ha acelerado el ritmo para ambos lados. Dijo:
“La IA no cambia este juego de gato y ratón, solo lo acelera. Cada pieza de software tiene que correr esta carrera. No hay escapatoria.”
La publicación Zcash pierde más de 5.000 millones de dólares después de que la IA encuentra un error de 4 años que podría haber creado monedas falsas ocultas apareció primero en CryptoSlate.