Zcash revela una vulnerabilidad oculta de 4 años que permite la creación ilimitada de monedas

Zcash (ZEC), una criptomoneda centrada en la privacidad, reveló el 4 de junio una vulnerabilidad crítica que podría haber permitido la creación ilimitada de monedas falsificadas en su área de transacciones de privacidad Orchard Pool. El investigador de seguridad Taylor Hornby descubrió el fallo el 29 de mayo usando el modelo de IA Opus 4.8 de Anthropic mientras auditaba el código de Orchard Circuit. La vulnerabilidad se originó por condiciones de restricción insuficientes en el proceso de verificación de operaciones con curvas elípticas, lo que permitía que la validación aprobara la verificación incluso con valores de entrada incorrectos. El fundador de Zcash, Zooko Wilcox, anunció a través de X que se implementaron parches de emergencia en todo el ecosistema, citando un informe de la firma de desarrollo Shielded Labs. El fallo existía desde la activación de Orchard Pool en mayo de 2022, permaneciendo indetectado durante cuatro años pese a las revisiones de destacados criptógrafos.

Taylor Hornby descubre la vulnerabilidad usando el modelo de IA Anthropic Opus 4.8

Taylor Hornby identificó la vulnerabilidad el 29 de mayo mientras examinaba el Orchard Circuit usando el modelo más reciente de IA Opus 4.8 de Anthropic. El descubrimiento ocurrió durante una auditoría rutinaria de seguridad de la infraestructura de transacciones de privacidad de Zcash. Zooko Wilcox citó las conclusiones de Hornby en una publicación de X del 4 de junio que incluía el informe de Shielded Labs con el detalle de la naturaleza técnica del fallo.

Fallo en la verificación de curvas elípticas que habilitó la creación ilimitada de ZEC

Según el informe de Shielded Labs, la vulnerabilidad surgió por condiciones de restricción insuficientes en el proceso de verificación de operaciones con curvas elípticas dentro del Orchard Circuit. Esta debilidad permitió a los atacantes usar valores de entrada incorrectos que aun así superarían las comprobaciones de validación, habilitando teóricamente la creación de tokens ilimitados de ZEC falsificados. El fallo afectó específicamente al Orchard Pool, el área de transacciones de privacidad de Zcash diseñada para ocultar detalles de transacciones de la vista pública.

Shielded Labs completa la implementación del parche de emergencia

Zooko Wilcox afirmó que las medidas de respuesta de emergencia corrigieron la vulnerabilidad y que los parches se han completado en todo el ecosistema. La vulnerabilidad existió desde mayo de 2022, cuando se activó Orchard Pool, hasta su descubrimiento el 29 de mayo. Shielded Labs señaló que demostrar criptográficamente si la vulnerabilidad se explotó realmente durante ese periodo de cuatro años es imposible. El informe indicó que, aunque no existe un método para confirmar si ocurrió falsificación antes del parche, la probabilidad de una explotación previa se considera baja dado que el fallo eludió la detección de criptógrafos de nivel mundial durante años y solo se descubrió mediante investigaciones de seguridad basadas en IA de vanguardia.

Shielded Labs analiza la implementación de Turnstile Accounting

Shielded Labs está analizando la introducción de un nuevo fondo de privacidad y la aplicación de Turnstile Accounting a los activos existentes de Orchard Pool. La empresa indicó que este enfoque permitiría que cualquiera verifique la integridad del suministro total de Zcash y confirme si existen monedas falsificadas dentro del Orchard Pool.

El precio de ZEC cae 17,04% a 447 dólares tras la divulgación

Al 5 de junio, ZEC cotizaba en 447 dólares (aproximadamente 687.200 wones surcoreanos), según datos de CoinGecko. Esto representó una caída del 17,04% en 24 horas tras la divulgación de la vulnerabilidad.

Preguntas frecuentes

¿Cómo descubrieron los investigadores la vulnerabilidad de Zcash?

Taylor Hornby descubrió la vulnerabilidad el 29 de mayo usando el modelo de IA Opus 4.8 de Anthropic mientras auditaba el código de Orchard Circuit. El análisis asistido por IA identificó condiciones de restricción insuficientes en el proceso de verificación de operaciones con curvas elípticas que habían eludido la detección de criptógrafos líderes durante cuatro años.

¿Alguien puede confirmar si la vulnerabilidad se explotó antes del parche?

Shielded Labs afirmó que demostrar criptográficamente si la vulnerabilidad fue realmente explotada durante el periodo de cuatro años, desde mayo de 2022 hasta el 29 de mayo, es imposible. El informe señaló que, aunque no existe un método de verificación, la probabilidad de una explotación previa se considera baja dadas la complejidad del fallo y las herramientas avanzadas de IA necesarias para su descubrimiento.

¿Qué medidas está implementando Zcash para prevenir futuras falsificaciones?

Shielded Labs está analizando la introducción de un nuevo fondo de privacidad y la aplicación de Turnstile Accounting a los activos existentes de Orchard Pool. La empresa indicó que este enfoque permitiría que cualquiera verifique la integridad del suministro total de Zcash y confirme si existen monedas falsificadas dentro del Orchard Pool.