Zooko Wilcox-O’Hearn, fundador da Zcash (ZEC), criptomoeda focada em privacidade, divulgou nesta quinta-feira (4) uma vulnerabilidade que permitia a criação ilimitada de moedas no Orchard, responsável pelas transações blindadas da rede.
A falha foi descoberta por Taylor Hornby, pesquisador que trabalha para a Shielded Labs, uma organização independente de segurança.
Como consequência, o preço da Zcash saiu de US$ 515 no momento da revelação para um fundo de US$ 250, perdendo mais de 50% de seu valor em cerca de 10 horas. No momento desta redação, a ZEC é negociada na faixa dos US$ 315.
Fundador da Zcash afirma que não é possível saber se a vulnerabilidade foi explorada e quantas moedas foram cunhadas
Assim como o Bitcoin, a Zcash deveria ter uma oferta máxima de 21 milhões de moedas. No entanto, a vulnerabilidade permitiria a criação ilimitada de ZEC, podendo ultrapassar esse valor.
“A vulnerabilidade poderia ter sido explorada para criar, de forma indetectável, uma quantidade ilimitada de ZEC falsificada dentro do Orchard. Por causa das propriedades de privacidade do Orchard, não há como provar criptograficamente se a vulnerabilidade foi explorada antes de ser corrigida. No entanto, uma atualização de rede pode ser implementada para proteger os usuários e comprovar a integridade da oferta da Zcash.”
Segundo o texto, a falha foi descoberta em 29 de maio de 2026 e corrigida em 2 de junho de 2026, estando presente por quatro anos, desde maio de 2022.
O pesquisador Taylor Hornby teria utilizou o modelo Opus 4.8 da Anthropic, logo após o seu lançamento, em seu trabalho.
“A vulnerabilidade era real e explorável. Taylor, com a ajuda do Opus 4.8, escreveu um exploit completo que, quando testado em um ambiente local de regtest, gerou uma quantidade ilimitada e indetectável de ZEC falsificada. Se ele tivesse executado a mesma ferramenta na mainnet da Zcash, teria gerado uma quantidade ilimitada e indetectável de ZEC falsificada em sua carteira de Zcash na mainnet.”
“O que torna isso particularmente desafiador é que, devido às propriedades de privacidade do Orchard e à natureza do bug, não há uma forma definitiva de determinar apenas com criptografia se houve exploração antes da descoberta e da correção da vulnerabilidade. Acreditamos que é importante ser transparentes quanto a essa incerteza”, continuou Zooko.
Desenvolvedor diz ser improvável que a falha tenha sido explorada, mas Zcash perde metade de seu valor
Continuando seu texto, o fundador da Zcash diz ser improvável que a falha tenha sido explorada. Como destaque, ele aponta que a vulnerabilidade passou despercebida aos olhos de muitos dos melhores criptógrafos do mundo por quatro anos e só foi descoberta por Taylor, que “é uma das pessoas mais qualificadas do mundo para isso” e teve ajuda de uma poderosa ferramenta de IA.
“Uma vez descoberta a vulnerabilidade, a janela de oportunidade para ataque foi severamente limitada pela rapidez com que o ZODL e o ecossistema Zcash executaram a correção.”
“Em conjunto, esses fatores sugerem que poucas pessoas tinham a capacidade e a oportunidade de descobrir e explorar essa vulnerabilidade antes que ela fosse corrigida”, comenta Zooko.
Independentemente disso, o preço da Zcash (ZEC) passou por uma forte queda entre as 18h47 desta quinta-feira (4) e às 4h da manhã desta sexta-feira (5), perdendo 50% de seu valor.
No momento desta redação, a ZEC já reverteu parte das perdas, sendo negociada na faixa dos US$ 315.
Finalizando seu texto, Zooko afirma que eles estão estudando uma proposta de atualização que permitiria que qualquer pessoa verificasse a oferta de ZEC para provar a inexistência de moedas falsas.
“Planejamos publicar um novo texto na próxima semana explicando a proposta em mais detalhes, incluindo como ela funcionaria e os trade-offs envolvidos. Como toda grande atualização de rede, ela exigiria o apoio dos usuários do Zcash e precisaria passar pelo processo padrão de governança antes de poder ser ativada”, explicou Zooko.
