Minuto Matutino
Minuto Matutino es un boletín diario escrito por Tyler Warner. El análisis y las opiniones expresadas son propias y no reflejan necesariamente las de Decrypt. ¡No te pierdas nuestro nuevo programa diario de noticias que cubre todas las principales historias en 5 minutos, disponible para descargar en Apple Podcasts o Spotify!
Noticias Principales
¡Buenos días! Las principales noticias de hoy:
El 29 de mayo, un investigador de seguridad llamado Taylor Hornby descubrió una vulnerabilidad crítica en el pool de privacidad Orchard de Zcash, que habría permitido a un atacante acuñar una cantidad ilimitada de ZEC falsificado. Hornby, quien fue contratado por el equipo de Zcash para este propósito, encontró la vulnerabilidad utilizando Claude Opus 4.8 de Anthropic.
Para el 1 de junio, el ecosistema de Zcash había implementado una solución de emergencia, resolviendo el problema, aunque había sido explotable durante los últimos cuatro años.
Detalles de la Vulnerabilidad
¿Cuál era la vulnerabilidad? El pool Orchard, la capa de transacciones protegidas más avanzada de Zcash, activa desde mayo de 2022, utiliza pruebas de conocimiento cero para validar transacciones sin revelar montos o participantes. El error, en términos simples, consistía en que una verificación específica que se suponía debía validar las entradas de transacción no estaba realmente haciendo cumplir las reglas que parecía cumplir.
Un atacante que descubriera esta falla podría introducir entradas falsas en esa verificación y hacer que pasara de todos modos, generando ZEC de la nada, con el sistema de prueba ZK validando la transacción fraudulenta como válida. Hornby, con la asistencia de Opus 4.8, escribió un exploit completamente funcional. Lo probó en un entorno local y funcionó: ZEC falsificado ilimitado e indetectable, indistinguible de las monedas legítimas. Inmediatamente lo divulgó a ZODL, el organismo de desarrollo coordinador de Zcash, en lugar de ejecutarlo en la red principal.
Impacto de la Vulnerabilidad
¿Por qué es desconocido el impacto de la vulnerabilidad? Debido a que Orchard es un pool de privacidad, no hay forma de determinar criptográficamente si esta vulnerabilidad fue explotada entre mayo de 2022 y junio de 2026. Las propiedades de privacidad que hacen que Orchard sea valioso son las mismas que hacen que la explotación sea indetectable.
Ahora, el equipo que contrató a Hornby afirma que es poco probable que haya habido explotación previa. El error evadió años de escrutinio de criptógrafos de clase mundial; el descubrimiento requirió herramientas de IA de vanguardia disponibles solo para investigadores de sombrero blanco, y la ventana de remediación fue estrecha. Sin embargo, fueron explícitos: los usuarios no deben confiar únicamente en su evaluación.
Próximos Pasos
Shielded Labs está proponiendo una actualización de red que implementaría un nuevo pool protegido y haría cumplir la «contabilidad de torniquete» en todas las monedas del pool Orchard. Esto obligaría esencialmente a que cada moneda existente de Orchard pase por un punto de control verificable que expondría cualquier suministro falsificado. Esto requiere un amplio apoyo de gobernanza comunitaria y un proceso estándar de actualización de la red Zcash. Se espera una propuesta detallada la próxima semana.
Shielded Labs también está iniciando formalmente un proyecto para verificar matemáticamente todo el circuito de Orchard desde cero y está contratando un Jefe de Seguridad y un Criptógrafo.
Importancia Más Allá de Zcash
¿Por qué esto importa más allá de Zcash? Esta es la demostración más clara en el mundo real de lo que el modelo de IA más capaz de Anthropic puede hacer en manos de un investigador de seguridad experto. Hornby utilizó Opus 4.8, lanzado públicamente el 28 de mayo, y dentro de las 24 horas posteriores a su lanzamiento, encontró un error crítico de cuatro años que había sobrevivido a múltiples rondas de revisión humana experta.
Y esto fue solo con Opus 4.8. Mythos llegará pronto, y habrá mejores modelos después de eso. Cada protocolo de criptomonedas debe estar en alerta: intenta hackear o explotar tu propio protocolo con hackers de sombrero blanco contratados, o juega a los dados y espera a que los hackers maliciosos lo hagan por ti. El tiempo corre, y el destino a corto plazo del espacio cripto más amplio probablemente esté en juego.
