Por qué Zcash colapsó incluso después de que se corrigió el error

Este es el enigma. El 29 de mayo de 2026, un investigador de seguridad contratado por los desarrolladores de Zcash encontró un error crítico en el pool de privacidad Orchard de la red, una falla que podría haber permitido a un atacante acuñar ZEC falso ilimitado e indetectable.

El equipo de desarrollo actuó rápido: lo divulgaron, coordinaron una corrección de emergencia, desactivaron el componente vulnerable en cuestión de días y lo reactivaron con un circuito parcheado mediante un Hard Fork antes del 1 de junio. No se robaron fondos.

No se detectó inflación. Por casi cualquier estándar de respuesta a incidentes, esto fue un modelo de cómo manejar una vulnerabilidad crítica. Y el mercado castigó al ZEC de todos modos. El token, que había cotizado por encima de $600 a principios de semana, se desplomó aproximadamente un 45% hasta alrededor de $314, borrando más de $3 mil millones de su valor de mercado. El error fue corregido, y el precio colapsó de todos modos.

 Entender por qué revela algo fundamental sobre las monedas de privacidad que el enfoque celebratorio de "lo parcheamos" omite por completo. Este artículo explica la paradoja y lo que significa para cada moneda de privacidad, no solo para Zcash.

Qué era el error

Para comprender por qué la corrección no salvó el precio, primero hay que entender qué amenazaba realmente el error.

La vulnerabilidad residía en Orchard, el pool de privacidad más avanzado de Zcash, específicamente en el circuito criptográfico que hace funcionar sus transacciones blindadas. El propósito de Zcash es precisamente las transacciones privadas: usando criptografía de conocimiento cero, permite a los usuarios enviar y recibir fondos sin revelar direcciones ni montos. 

Orchard es el motor que entrega esa privacidad. El error era una falla en ese motor, y sus consecuencias eran graves. Como describió Shielded Labs, la organización sin fines de lucro que lo divulgó, la falla podría haber permitido a un atacante crear una cantidad ilimitada de tokens ZEC falsos, completamente indetectables.

La analogía más clara proviene de la propia divulgación: imagínalo como alguien que accede secretamente a la imprenta de dólares de la Reserva Federal, salvo que en este caso, ni siquiera la Fed podría saber que se habían impreso dólares extra. Un ingeniero de seguridad llamado Taylor Hornby, contratado específicamente para buscar vulnerabilidades de protocolo, encontró la falla el 29 de mayo usando un modelo avanzado de IA para realizar una revisión dirigida del circuito Orchard. 

Escribió un exploit funcional completo y confirmó que, en un entorno de prueba local, generaba ZEC falso ilimitado e indetectable. Shielded Labs afirmó claramente que si la misma herramienta se hubiera ejecutado en la red Zcash en vivo, habría producido tokens falsos en la billetera del atacante.

Este es prácticamente el peor tipo de error que puede tener una Criptomoneda. Toda la propuesta de valor de un activo digital de suministro fijo descansa en que el suministro sea exactamente lo que todos creen que es. Una falla que permite a alguien acuñar secretamente monedas falsas ilimitadas ataca directamente esa base. La gravedad era real. Pero la gravedad por sí sola no explica el colapso, porque el error fue detectado y corregido antes de que hubiera alguna explotación conocida. La explicación radica en dos palabras: "indetectado" e "indetectable".

La corrección funcionó. ¿Entonces por qué se desplomó?

Por los números, la respuesta fue un éxito. La falla fue encontrada por el propio investigador contratado del equipo antes de que se supiera que algún actor malicioso la había utilizado. Se divulgó de manera responsable. Se parcheó en días mediante una acción de emergencia coordinada. Algunos analistas incluso enmarcaron el episodio como cautelosamente Bullish (alcista), evidencia de que los desarrolladores de Zcash podían coordinar rápidamente una corrección de seguridad crítica sin que se robaran fondos ni ocurriera inflación. Una gestión de crisis robusta, en otras palabras.

Y sin embargo, el mercado hizo lo opuesto a recompensarlo. La razón es un problema que la corrección no pudo tocar, y Shielded Labs fue admirablemente honesto al respecto. Debido a las propiedades de privacidad de Orchard y la naturaleza del error, no hay forma definitiva, usando solo criptografía, de determinar si la falla fue explotada antes de ser descubierta y corregida. Los desarrolladores parchearon la puerta, pero no pueden probar que nadie la atravesó durante los cuatro años que estuvo desbloqueada. Ellos mismos enfatizaron esta incertidumbre en lugar de ocultarla.

Ese es el núcleo de la paradoja. Con una blockchain transparente como Bitcoin, si se encontrara un error similar, los auditores podrían examinar el libro de contabilidad público y verificar si el suministro total coincide con lo que debería ser. La transparencia que los defensores de la privacidad suelen criticar es exactamente lo que permitiría llegar a una conclusión limpia de "verificamos, no existen falsificaciones". 

Zcash no puede hacer eso. Las transacciones blindadas que protegen a los usuarios ocultando montos y direcciones también ocultan si se crearon monedas falsas. La privacidad es la característica, y en este momento, la privacidad es el problema. No puedes auditar lo que está diseñado para ser inauditable.

Entonces el mercado no estaba reaccionando al error, que fue corregido. Estaba reaccionando a la incertidumbre permanente e irresolvable que expuso el error. Se pidió a los inversores que mantuvieran un token cuya integridad de suministro nunca puede probarse completamente, con el conocimiento específico de que una vulnerabilidad de falsificación existió sin ser detectada durante cuatro años. La corrección abordó el futuro. No podía hacer nada sobre la duda que arrojó sobre el pasado, y esa duda es lo que desplomó el precio.

Cuatro años es la parte que duele

El detalle que convirtió una situación grave en una crisis de confianza es la cronología. El error no se introdujo el mes pasado. Había estado presente desde la activación de Orchard en mayo de 2022. Existió, sin ser detectado, durante cuatro años.

Esto importa por dos razones, y ambas son corrosivas para la confianza. La primera es la obvia: cuatro años es una ventana larga. Incluso si la explotación es improbable, la enorme duración del tiempo durante el cual la falla estuvo abierta amplía el espacio del "qué pasaría si". Cualquiera que haya usado Orchard durante esos cuatro años operó en un sistema que podría, en teoría, haber sido comprometido, y no hay forma de verificar retroactivamente que no lo fue. Cuanto más larga la ventana, más difícil es desechar la posibilidad con "probablemente nunca fue explotado".

La segunda razón va más profundo. El error evadió años de escrutinio por parte de criptógrafos experimentados. Zcash no es un proyecto oscuro; es una de las Criptomonedas de privacidad más respetadas, construida y revisada por algunos de los criptógrafos más capaces de la industria. Que una falla tan grave sobreviviera cuatro años de ese escrutinio, y fuera encontrada solo mediante una búsqueda deliberada con asistencia de IA por un investigador específicamente contratado, plantea una pregunta incómoda. 

Si un error tan grave podía ocultarse durante cuatro años en un sistema tan minuciosamente revisado, ¿qué confianza puede tener alguien en que no hay otros? Shielded Labs está ahora persiguiendo la verificación formal, una prueba matemática de que no existen más errores en el circuito Orchard, precisamente porque el fallo de cuatro años destrozó la suposición de que la revisión de expertos era suficiente.

Shielded Labs presenta un argumento razonable de que la explotación probablemente no ocurrió. El error eludió a todos durante años y emergió solo con herramientas de vanguardia y un investigador calificado trabajando deliberadamente para encontrarlo, luego fue corregido rápidamente, dejando poca ventana para que alguien más lo hubiera encontrado y utilizado en el intervalo. 

Como ellos mismos dijeron, creen que su investigador "probablemente tuvo éxito" en encontrarlo antes que cualquier actor malicioso. Pero nótese el lenguaje. "Probablemente." En un sistema construido sobre certeza criptográfica, lo mejor que los desarrolladores pueden ofrecer honestamente sobre el suministro es una probabilidad, y los mercados que valoran un activo de privacidad no gustan de pagar el precio completo por "probablemente".

Lo que significa para cada moneda de privacidad

El episodio de Zcash no es solo un problema de Zcash. Expone una tensión estructural que se encuentra en el corazón de cada Criptomoneda enfocada en la privacidad, y por eso merece atención más allá de los tenedores de ZEC.

La tensión es esta: la privacidad y la auditabilidad están en conflicto directo. Cuanto más completamente una moneda oculta sus transacciones, más completamente también oculta si su suministro es sólido. Una cadena completamente transparente siempre puede probar la integridad de su suministro mediante inspección pública, a costa de la privacidad del usuario. Una cadena completamente privada protege a sus usuarios de manera absoluta, a costa de poder probar, ante un escéptico, que no ha ocurrido ninguna falsificación. 

Esto no es una falla en la implementación de Zcash que una mejor ingeniería elimina. Es una compensación fundamental integrada en el concepto del dinero privado. Monero, la otra moneda de privacidad importante, enfrenta la misma realidad estructural: sus garantías de privacidad son también sus límites de auditabilidad.

Lo que Zcash está intentando ahora es el esfuerzo más serio de la industria para sortear ese dilema, y vale la pena observarlo. Shielded Labs ha propuesto una actualización de red que permitiría a cualquiera verificar de forma independiente la integridad del suministro de ZEC, involucrando un nuevo pool blindado y una contabilidad de "torniquete" que rastrea las monedas que salen del pool Orchard comprometido. 

El objetivo es restaurar la integridad de suministro demostrable sin abandonar la privacidad. Si funciona, podría convertirse en una plantilla para cómo las monedas de privacidad manejan el problema de auditabilidad. Si resulta ser torpe o incompleto, subrayará cuán difícil es escapar de esa compensación. De cualquier manera, Zcash está siendo forzado a resolver en público un problema que toda la categoría de monedas de privacidad ha podido ignorar en su mayor parte.

La reacción del mercado también sacó a la luz una verdad más fría sobre las monedas de privacidad como inversiones. La venta masiva se agudizó con la noticia de que un prominente tenedor de monedas de privacidad, el cofundador de BitMEX Arthur Hayes, vendió toda su posición en ZEC. Cuando un tenedor insignia sale por una pregunta de suministro irresolvable, señala que incluso los creyentes sofisticados tienen un límite a cuánto "probablemente bien" tolerarán. Para una moneda de privacidad, la confianza no es un atributo secundario; es el producto completo, porque no puedes verificar la cosa tú mismo. Una vez que esa confianza recibe un golpe que no puede ser reparado criptográficamente, el descuento puede ser severo y duradero.

La lectura honesta

Zcash hizo casi todo bien y aún así fue castigado, y esa es la lección con la que vale la pena reflexionar.

Los desarrolladores contrataron a un investigador para buscar exactamente este tipo de falla antes de que los atacantes pudieran hacerlo. El investigador la encontró. El equipo la divulgó de manera transparente, la corrigió en días, y ahora está proponiendo una actualización de integridad de suministro y persiguiendo la verificación formal para evitar una repetición. Como respuesta de seguridad, está cerca de un manual de mejores prácticas, y en un sistema transparente incluso podría haber sido un momento de construcción de confianza, prueba de que las defensas de la red funcionaron.

Pero Zcash no es un sistema transparente, y ese es el punto central. Su privacidad, la característica que le da su razón de existir, es también lo que hace imposible probar que el error nunca fue explotado durante los cuatro años que existió. 

El colapso desde más de $600 hasta alrededor de $314 es la valoración del mercado de esa incertidumbre irresolvable: no el error en sí, que desapareció, sino la duda permanente que arrojó sobre un suministro que nunca puede auditarse completamente. La ventana de cuatro años hizo la duda mayor, y la salida de un tenedor insignia la hizo concreta.

Para ZEC específicamente, el camino de regreso pasa por la actualización de integridad de suministro. Si Shielded Labs puede ofrecer una forma creíble de verificar el suministro de manera independiente, parte del miedo debería disiparse, porque la herida central, la imposibilidad de probarlo, comenzaría a sanar. Si no puede, el descuento puede persistir como una prima de riesgo permanente en un activo que te pide que confíes en lo que no puedes verificar. 

Para la categoría más amplia de monedas de privacidad, el episodio es un recordatorio de que la garantía de privacidad y la garantía de suministro son dos caras de la misma moneda, y no puedes fortalecer una sin debilitar la otra. 

Zcash acaba de aprender, en público y al costo de $3 mil millones, cómo se ve esa compensación cuando sale mal. El error está corregido. La pregunta que planteó no lo está, y puede que nunca lo esté.

Este artículo es solo para fines informativos y no constituye asesoramiento financiero o de inversión. Los mercados de Criptomonedas son altamente volátiles. Las cifras y el análisis descritos reflejan datos disponibles al 5 de junio de 2026. Siempre haga su propia investigación y consulte con profesionales financieros calificados antes de tomar decisiones de inversión.