-
La vulnerabilidad en Orchard permaneció indetectada durante cuatro años pese a múltiples auditorías.
-
Ironwood integra el uso de “turnstiles” para auditar las entradas y salidas en pools blindados.
Shielded Labs, en colaboración con la Zcash Foundation y otros actores del ecosistema, presentó la propuesta de actualización Ironwood para restaurar la capacidad de los usuarios de verificar de forma independiente la integridad del suministro de ZEC tras el descubrimiento de una vulnerabilidad crítica en el pool Orchard.
La falla, activa desde la implementación de Orchard en mayo de 2022, permitía la creación de cantidades ilimitadas de ZEC falsos sin dejar rastro. No fue sino hasta mayo de 2026 que se detectó este bug, mediante herramientas de inteligencia artificial (IA) por el investigador Taylor Hornby y obligó a una actualización de emergencia el 2 de junio. Aunque el equipo considera improbable que esta vulnerabilidad haya sido aprovechada por algún hacker, las propiedades de privacidad del pool impiden verificarlo de manera externa.
Publicidad
Ironwood busca solucionar esta falta de verificabilidad. La propuesta contempla la creación de un nuevo pool con el bug corregido, la prohibición de generar nuevas salidas en el pool antiguo y el uso de “turnstiles” (torniquetes), un mecanismo de auditoría y defensa que controla y cuenta las criptomonedas que entran y salen de los diferentes grupos de direcciones privadas, conocidos como pools blindados. De esta forma, cualquier usuario que ejecute un nodo podrá verificar el suministro total simplemente sumando los saldos de los pools activos, sin necesidad de esperar migraciones masivas ni confiar en evaluaciones de terceros.
Datos on-chain analizados por CipherScan revelan que, tras el incidente, salieron del pool Orchard aproximadamente 380.000 ZEC. De esa cantidad, solo 47.000 ZEC (0,28% del suministro total) llegaron a exchanges, lo que representa una presión de venta limitada. Al mismo tiempo, se blindaron cerca de 118.000 ZEC durante el mismo período, lo que sugiere que una parte significativa de los holders no entró en pánico.
Sin embargo, el episodio reaviva cuestionamientos estructurales sobre Zcash. La alta concentración minera (tres pools controlan el 79% del hashrate) permitió coordinar rápidamente la pausa del pool Orchard, pero también expone que la gobernanza efectiva depende de un número reducido de actores. En este sentido, CriptoNoticias reportó que el desarrollador de Bitcoin Peter Todd ha criticado reiteradamente la decisión de integrar criptografía zk-SNARKs directamente en el consenso, una superficie de ataque que Bitcoin evita deliberadamente manteniendo un diseño más simple.
El hecho de que una vulnerabilidad de esta magnitud permaneciera cuatro años sin ser detectada, pese a múltiples auditorías, sigue siendo el principal punto de escepticismo. Aunque Ironwood representa un parche técnico necesario para recuperar la verificabilidad del suministro, no resuelve las dudas de fondo sobre si un protocolo que depende de criptografía compleja y que requiere actualizaciones de emergencia frecuentes puede ofrecer la robustez y confianza que promete a largo plazo.
