Zcash (zec) se desplomó un 31% después de que los investigadores revelaran un fallo crítico que podría haber permitido a atacantes crear monedas falsas ilimitadas dentro de la pool Orchard de privacidad de la red, aunque los desarrolladores afirman que el error se solucionó antes de cualquier explotación conocida.
Vulnerabilidad de Zcash
Un grupo de apoyo independiente, Shielded Labs, reveló el jueves que el ingeniero de seguridad Taylor Hornby descubrió una vulnerabilidad grave en la pool de transacciones Orchard de Zcash durante una revisión de protocolo que comenzó en abril.
El fallo afectaba a Orchard, la pool protegida de la red que utiliza pruebas de conocimiento cero para verificar transacciones privadas. Según Shielded Labs, la vulnerabilidad permitía a un atacante enviar entradas falsas durante un proceso de multiplicación de curvas elípticas y aun así superar la validación de la transacción, lo que potencialmente habilitaba la creación de ZEC falsos ilimitados.
Hornby identificó el problema el 29 de mayo utilizando una combinación de análisis de seguridad tradicional e investigación asistida por IA, incluido el modelo Opus 4.8 de Anthropic. Informó inmediatamente de sus hallazgos a los ingenieros del Zcash Open Development Lab, y la vulnerabilidad fue parcheada el 1 de junio.
Los investigadores afirmaron que lograron crear un exploit de prueba de concepto en un entorno de pruebas local, demostrando que el fallo era real y que podía generar ZEC falsos indetectables en condiciones controladas.
También lee: Anthropic Submits Secret S-1, Eyes October IPO At Near-Trillion Valuation
Descubrimiento con IA
A pesar de la gravedad de la vulnerabilidad, Shielded Labs señaló que la explotación real parece poco probable. El fallo existía desde el lanzamiento de Orchard en mayo de 2022, pero pasó desapercibido a pesar de exhaustivas revisiones de criptógrafos e investigadores de seguridad.
La organización explicó que el hallazgo fue el resultado de un esfuerzo dirigido a identificar vulnerabilidades avanzadas antes de que actores maliciosos pudieran encontrarlas. Los investigadores combinaron herramientas de IA recientemente publicadas con flujos de trabajo de seguridad personalizados diseñados para acelerar el análisis de código y la búsqueda de vulnerabilidades.
Debido a que las transacciones de Orchard son privadas por diseño, los investigadores no pueden determinar de forma concluyente si el error fue explotado alguna vez. Sin embargo, Shielded Labs afirmó que actualmente no hay pruebas que sugieran que se hayan creado monedas falsas en la red principal.
El equipo está evaluando ahora una actualización de la red que permitiría a los usuarios verificar de forma independiente la integridad de la oferta de Zcash.
La propuesta incluye el despliegue de una nueva pool protegida e introducir mecanismos de contabilidad adicionales para demostrar que no existen ZEC falsos dentro de Orchard.
La revelación desencadenó una fuerte reacción del mercado.
ZEC cayó a unos 383 dólares a primeras horas del viernes, un 36% abajo respecto a las 24 horas anteriores, con gran parte de la caída produciéndose en cuestión de horas tras el anuncio público. El token ha experimentado varios periodos de extrema volatilidad en los últimos años, reaccionando con fuerza a desarrollos relacionados con la tecnología de privacidad, la regulación y la seguridad de la red.
Lee a continuación: Kalshi Seeks U.S. Clearance For XRP, Solana And Dogecoin Perps