A Zcash concluiu uma atualização de emergência em duas fases esta semana para corrigir uma vulnerabilidade crítica em seu pool protegido Orchard — uma falha de 'solidez' no circuito de prova de conhecimento zero que, em teoria, poderia permitir que um atacante criasse ZEC ilimitado e indetectável. O bug foi descoberto em 29 de Maio pelo pesquisador de segurança Taylor Hornby durante uma auditoria de protocolo encomendada pela Shielded Labs, utilizando o modelo de IA Claude Opus 4.8 da Anthropic. A correção veio rápida: um soft fork em 2 de Junho, seguido por um hard fork no dia seguinte.
Como a falha foi encontrada
A auditoria de Hornby revelou uma vulnerabilidade que estava presente no Orchard desde sua ativação em Maio de 2022 — há quatro anos. Uma prova de conceito funcional mostrou que ZEC falsificado ilimitado poderia ser cunhado em um ambiente de teste local. No entanto, a falha nunca inflou a oferta real de ZEC na rede ativa, de acordo com o mecanismo de contabilidade turnstile interno da Zcash. Ainda assim, devido às propriedades de privacidade das transações protegidas, não há uma forma criptográfica definitiva de provar que nunca houve exploração. A resposta do projeto foi agressiva: o Zebra 4.5.3 (soft fork) desativou as transações Orchard em 2 de Junho, e o Zebra 5.0.0 (hard fork NU6.2) corrigiu a falha e as reativou no dia seguinte.
Oscilação do mercado
O mercado inicialmente celebrou o hard fork. O ZEC saltou para $624 em 4 de Junho — seu pico da semana. Então as coisas pioraram. Arthur Hayes revelou que havia saído de toda a sua posição em ZEC intradiariamente em 4 de Junho, e o preço despencou cerca de 50% para $309 em 5 de Junho, eliminando mais de $3 bilhões em capitalização de mercado. O ZEC desde então se recuperou um pouco, sendo negociado em torno de $430 depois que o CEO da Electric Coin Company, Josh Swihart, confirmou em 7 de Junho que a correção estava completa e a rede segura.
O bug foi um grande problema porque atingiu a promessa central da Zcash: que as transações protegidas são privadas e sólidas. Se um atacante pudesse imprimir ZEC silenciosamente, toda a narrativa de privacidade seria envenenada. A velocidade da resposta — dois forks em dois dias — sugere que a equipe sabia o quão grave poderia ser. A declaração de Swihart em 7 de Junho visava tranquilizar os usuários de que a rede está segura agora, mas a incerteza sobre se alguém jamais explorou a falha continua sendo uma questão persistente. As próprias defesas da Zcash não detectaram criação de valor não autorizada, mas a privacidade significa que você não pode ver tudo.
O que vem a seguir? O patch está ativo, as atualizações estão concluídas. Mas fique atento a quaisquer divulgações adicionais da Shielded Labs sobre os resultados da auditoria, e observe o preço do ZEC enquanto os traders avaliam se a confiança realmente voltou. A vulnerabilidade esteve presente por quatro anos. A correção levou uma semana.
