Zcash corrige un fallo crítico en Orchard y restablece las transacciones blindadas

Los desarrolladores de Zcash resolvieron esta semana un episodio poco habitual en el sector cripto: detectaron una vulnerabilidad crítica, detuvieron el componente afectado, aplicaron un parche y recuperaron la operativa en menos de siete días. No se registraron exploits, pérdidas de fondos ni filtraciones de privacidad. El problema fue identificado el 29 de mayo por el investigador independiente Taylor Hornby durante una auditoría. Afectaba al circuito de pruebas de conocimiento cero que sustenta el pool blindado Orchard de Zcash. En la práctica, el fallo podía permitir falsificar transacciones aparentemente válidas dentro del pool, abriendo la puerta a un doble gasto limitado. La Zcash Foundation aseguró que no hay indicios de que la vulnerabilidad llegara a explotarse. La respuesta se ejecutó en dos fases. En primer lugar, se desplegó un soft fork de emergencia en la altura de bloque 3.363.426, que deshabilitó de facto las transacciones de Orchard a partir de alrededor del 12 de junio. Después llegó la corrección definitiva: un hard fork denominado NU6.2, activado el 3 de junio a las 00:05 EDT (en torno al bloque 3.364.600), incorporó un circuito de pruebas actualizado que cerró la brecha y devolvió la funcionalidad completa a Orchard. La transición tuvo fricciones. El Zcash Open Development Lab (ZODL) reconoció un breve episodio de inestabilidad mientras los mineros actualizaban el software. La producción de bloques se detuvo durante más de cuatro horas el 3 de junio, hasta que la infraestructura de minería de la red se alineó con la nueva versión. Aun así, el balance fue positivo: no se detectó creación de valor no autorizada y la privacidad de los usuarios se mantuvo intacta. Tras normalizarse la red, el volumen blindado de Zcash superó los 4 millones de ZEC. Las pruebas de conocimiento cero son la base criptográfica de las funciones de privacidad de Zcash, al permitir demostrar que una transacción es válida sin revelar emisor, receptor ni importe. Orchard, introducido en 2022, es la versión más reciente y avanzada del sistema de transacciones blindadas. Un fallo de "soundness" en un circuito de conocimiento cero se considera de máxima gravedad: esa propiedad impide que alguien genere una prueba convincente para una afirmación falsa. Si se rompe, en teoría sería posible acuñar monedas de la nada o gastar las mismas monedas dos veces mientras la red lo acepta como correcto. Este episodio supone solo la segunda vez en la historia de Zcash que se aplica una actualización del protocolo motivada por seguridad, lo que refleja tanto la rareza como la severidad del incidente. ZODL coordinó la respuesta junto con la Zcash Foundation, y la corrección técnica se centró en el cliente Zebra, basado en Rust. En el mercado, el token repuntó entre un 5% y un 14% en las horas posteriores al anuncio de emergencia, incluso con un entorno cripto más volátil. El parón de cuatro horas en la producción de bloques tuvo un coste real, especialmente para operaciones sensibles al tiempo. Con todo, ante la gravedad potencial de una vulnerabilidad crítica en pruebas de conocimiento cero, unas horas de inactividad quedan en un segundo plano.