La inteligencia artificial encontró lo que los auditores humanos pasaron por alto

Una debilidad de seguridad que había permanecido sin detectar en el pool Orchard de Zcash desde mayo de 2022, salió a la luz gracias a un proceso de auditoría asistido por IA, y no por los auditores de código manuales tradicionales. El investigador de seguridad Taylor Hornby, contratado por la organización sin fines de lucro Shielded Labs, utilizó el modelo de IA Claude Opus 4.8 de Anthropic, integrado en un marco de auditoría personalizado, para identificar lo que se describe como un elemento de circuito sublimitado en el sistema de pruebas de conocimiento cero (zero-knowledge proofs) de Zcash, según información reportada por Seeking Alpha.

El error era de la categoría más grave: potencialmente podría haber permitido a un atacante crear un número ilimitado de tokens ZEC falsos dentro del pool blindado, sin que fuera detectable.

Un error que había sobrevivido a cuatro años de auditorías humanas fue descubierto por un modelo de IA en cuestión de días.
La IA reveló un error crítico de Zcash oculto durante cuatro años - Bilde 1

Gestión rápida de crisis

Cuando se descubrió el error el 29 de mayo de 2026, el equipo de Zcash actuó rápidamente. Un soft fork de emergencia se implementó el 1 de junio, seguido de un hard fork – llamado NU6.2 – dos días después, el 3 de junio. La Fundación Zcash ha declarado que no hay pruebas de que la vulnerabilidad fuera explotada, que no se detectó ninguna creación de valor no autorizada y que la privacidad de los usuarios permaneció intacta durante todo el período. El límite absoluto de 21 millones de tokens ZEC también se habría respetado.

Sin embargo, hay una salvedad importante: debido a las funciones de privacidad inherentes de Orchard, es criptográficamente imposible probar con total certeza que el error no fue explotado antes de que se implementara el parche. Esta es una limitación inherente a la propia tecnología y debe tenerse en cuenta al evaluar la afirmación de que no se produjo ningún daño.

~4 años
Antigüedad del error en la base de código
3 días
Desde el descubrimiento hasta el hard fork
La IA reveló un error crítico de Zcash oculto durante cuatro años - Bilde 2

Auditoría de seguimiento arrojó resultados positivos

Tras el incidente, el fundador de Zcash, Zooko Wilcox-O'Hearn, anunció el 12 de junio de 2026 que Anthropic había llevado a cabo una auditoría de seguridad completa de todo el protocolo Zcash utilizando su modelo de IA no público llamado «Mythos». Wilcox-O'Hearn expresó su gratitud a Anthropic e informó que la auditoría no reveló errores graves adicionales en el protocolo. La auditoría también fue encargada por Shielded Labs.

El cofundador Eli Ben-Sasson apoyó el uso de la detección asistida por IA y abogó por una adopción más amplia de métodos similares, combinados con la verificación formal, en todo el protocolo.

Qué significa esto para la seguridad criptográfica

El incidente ilustra algo sobre lo que los expertos han advertido durante mucho tiempo: las auditorías manuales tradicionales pueden quedarse cortas en sistemas criptográficos altamente complejos. Un sistema de pruebas de conocimiento cero del calibre de Zcash contiene enormes cantidades de código intrincado donde incluso errores lógicos marginales pueden tener consecuencias catastróficas.

El error había sobrevivido a repetidas auditorías de expertos durante cuatro años; la IA lo encontró en días.

Los observadores de la industria señalan que la IA acelera una carrera armamentista de seguridad: las mismas herramientas que permiten a los defensores encontrar vulnerabilidades más rápidamente, en teoría, también pueden ser utilizadas por los atacantes. El equipo de Zcash ve el incidente como un argumento a favor del «red-teaming» proactivo basado en IA como una parte fija del trabajo de seguridad en el futuro.

El camino a seguir: Ironwood y verificación formal

Zcash ha anunciado una serie de medidas para fortalecer la seguridad. El circuito Orchard corregido formará la base de un nuevo pool blindado llamado «Ironwood», cuya activación está prevista para finales de julio de 2026. La actualización de Ironwood incluirá verificación formal, auditorías de seguridad independientes y revisión asistida por IA como parte de un marco de aseguramiento reforzado.

Una característica adicional importante en Ironwood es la llamada «contabilidad de torniquete» (turnstile accounting), que permitirá la verificación independiente del suministro de tokens, abordando así directamente las legítimas preocupaciones sobre la integridad del suministro que el error de Orchard reveló.

Contexto del mercado

La noticia llega en un mercado de criptomonedas caracterizado por la aversión al riesgo, con Bitcoin cotizando alrededor de los 63.930 dólares y el índice Fear & Greed en un bajo 18 de 100 – un nivel que indica miedo extremo entre los inversores. En un clima así, los incidentes relacionados con la seguridad pueden tener un impacto desproporcionadamente grande en la confianza en proyectos individuales, incluso cuando los errores se corrigen rápidamente.