¿Están seguros los fondos tras el bug de Orchard?

David Schwartz, CTO emérito de Ripple, intervino en la crisis de Zcash el pasado 7 de junio, ofreciendo un mensaje de tranquilidad moderada a los poseedores de ZEC inquietos por la revelación de una vulnerabilidad crítica de prueba de conocimiento cero en el pool blindado Orchard.

Su postura es clara: los holders pasivos que nunca muevan sus monedas no perderán sus fondos, siempre y cuando el error nunca haya sido explotado realmente. Esa condición final es la que sostiene toda la estructura de una frase que busca transmitir consuelo.

La paradoja central reside en lo siguiente. La vulnerabilidad de Orchard, corregida mediante un hard fork de emergencia (NU6.2) el 2 de junio, permitía teóricamente la generación indetectable de ZEC falsos durante casi cuatro años.

Los propios desarrolladores de Zcash no pueden demostrar que el exploit nunca se haya activado, debido a que la arquitectura de privacidad que otorga valor a ZEC también hace que la auditoría del suministro sea criptográficamente imposible. La afirmación de Schwartz es precisa en sus propios términos, pero no puede considerarse una garantía absoluta.

This one paragraph has massive implications for Zcash. Hardly surprising the price has plummeted.

“The vulnerability could have been exploited to undetectably create an unlimited amount of counterfeit zcash:native within Orchard. Because of the privacy properties of Orchard,… https://t.co/72v9Zafneu

— Gareth Jenkinson (@gazza_jenks) June 5, 2026

El valor de ZEC cayó más del 30% en una sola sesión tras la revelación del 29 de mayo, tocando brevemente su nivel más bajo en más de un mes. El mercado no estaba reaccionando a una explotación confirmada, sino al precio de un riesgo inverificable, lo cual representa un problema distinto y, posiblemente, más difícil de resolver.

Lo que la declaración de Schwartz significa realmente para los inversores y si esto cambia algo a nivel estructural es lo que analizaremos en el resto de este artículo.

El bug del pool Orchard: Implicaciones de la vulnerabilidad para ZEC

El pool Orchard de Zcash se introdujo con la Actualización de Red 5 (NU5) en mayo de 2022. Se presentó como la capa de privacidad más avanzada de la red, basada en zk-SNARKs de Halo 2, diseñados para eliminar la necesidad de una configuración de confianza (trusted setup) de los circuitos Sapling anteriores.

La vulnerabilidad se encontraba en un elemento con restricciones insuficientes dentro del gadget de multiplicación de curva elíptica en la caja halo2_gadgets. En términos sencillos, ciertas entradas diseñadas específicamente podrían saltarse los controles de validez y producir ZEC falsificados que aun así superaban la verificación.

Taylor Hornby, ingeniero de Zcash, descubrió el fallo el 29 de mayo de 2026, presuntamente con la ayuda de métodos formales asistidos por IA. Confirmó un exploit plenamente funcional en un entorno de prueba local (regtest), señalando que ejecutar ese mismo exploit en la red principal (mainnet) habría generado ZEC reales de forma ilimitada y sin rastro.

La ventana de exposición abarcó desde la activación de Orchard en la mainnet en mayo de 2022 hasta el 1 de junio de 2026, aproximadamente 4 años. El software afectado incluía todas las versiones de halo2_gadgets anteriores a la v0.5.0, orchard antes de la v0.14.0 y las versiones de zcashd desde la v5.0.0 hasta la v6.12.3.

Straight from Zooko

“We want to emphasize that we believe prior exploitation of the Orchard vulnerability is unlikely. But users should not have to trust our assessment, or anyone else’s, when it comes to the integrity of the Zcash supply.”

MUCH MUCH LOWER https://t.co/tlTRSWY1cH

— Roger (@degendeez) June 6, 2026

Shielded Labs y los desarrolladores respondieron con rapidez, lanzando Zebra 4.5.3 como un soft fork de emergencia para desactivar temporalmente las transacciones de Orchard, y posteriormente activando el hard fork NU6.2 mediante Zebra 5.0 en el bloque 3,364,600 el 2 de junio a las 12:05 PM UTC+8.

El circuito ya ha sido corregido. Lo crucial para los holders es que, si bien el parche cierra la vulnerabilidad de cara al futuro, no puede demostrar retroactivamente que la integridad del suministro se mantuvo durante esos cuatro años. Ese periodo de tiempo permanecerá permanentemente opaco.

La tranquilidad de Schwartz: Lo que significa y lo que no puede probar

El debate surgió después de que el comentarista de criptomonedas Nate, conocido en X como @satorinakamoto, cuestionara si Zcash podía demostrar que la vulnerabilidad nunca fue aprovechada, dada la opacidad de la red.

Schwartz, cocreador del XRP Ledger y una de las voces con mayor credibilidad técnica en la industria, respondió directamente: “Eventualmente se quedarán un poco solos en el pool obsoleto, pero seguirán estando seguros y accesibles”.

Su punto principal es que las reglas de consenso protegen a cada propietario de ZEC, y los diseñadores del protocolo pueden definir la compatibilidad hacia atrás para que los holders pasivos conserven monedas válidas y gastables, incluso si el pool Orchard se convierte en una capa heredada.

If there was no exploit, everyone is safe whether they move their coins or not. They’ll eventually be a bit lonely in the deprecated pool, but they’ll still be safe and accessible.

— David ‘JoelKatz’ Schwartz (@JoelKatz) June 7, 2026

La tranquilidad expresada radica en que los holders no perderán sus activos. Esto es cierto de forma condicional: si no hubo explotación, los fondos no movidos en pools antiguos permanecen intactos. Sin embargo, la condición en sí es el núcleo del problema.

Shielded Labs declaró explícitamente en su informe: “No hay una forma definitiva de determinar, utilizando solo criptografía, si tal explotación ocurrió”. Las credenciales de Schwartz otorgan un peso real a sus palabras, pero no pueden aportar certeza sobre lo ocurrido durante cuatro años en la capa más opaca de una moneda de privacidad.

Esto no supone un rechazo a la visión de Schwartz. Su planteamiento de que los holders pasivos están a salvo ante la falta de una explotación confirmada es técnicamente coherente. No obstante, el marco real es que esa “falta de explotación confirmada” es una condición que nadie puede verificar, ni siquiera los propios desarrolladores de Zcash. Ambas afirmaciones pueden ser ciertas al mismo tiempo, y el mercado está valorando precisamente la brecha entre ellas.

Últimas noticias del mercado:

1. Bitcoin sostiene el soporte de $60.000 mientras Bitcoin Hyper roza los $33 millones
2. Gemini AI prevé rebote de Bitcoin: ¿Puede BTC volver a los $80,000?
3. Hyperliquid vs Solana: ¿Puede HYPE superar a SOL en 2026?