Cuatro años. Ese es el tiempo que permaneció oculto un defecto en el Orchard Pool de Zcash, desde mayo de 2022 hasta el parche distribuido a principios de junio de 2026. Nadie robó un solo ZEC. Sin embargo, el token perdió casi la mitad de su valor en 48 horas y Arthur Hayes liquidó toda su posición, declarando muerta su “Holy Trinity”.
Security Incident Report
Informe de Incidente de Seguridad
Protocolo
Zcash (Orchard shielded pool)
Importe sustraído
$0 confirmado
Tipo
Fallo de solidez, suministro no verificable
Divulgación
4-5 de junio de 2026
Vector
Una restricción insuficiente en el circuito Orchard habría permitido acuñar ZEC falsificados sin dejar rastro. Presente desde el NU5 de mayo de 2022, sobrevivió a múltiples auditorías.
Respuesta del protocolo
Hard fork de emergencia NU6.2 activado el 3 de junio de 2026, tras el parche de principios de mes. No se detectó ningún robo.
Fuente: Shielded Labs, divulgación oficial
Fuente: Shielded Labs, divulgación oficial
Cómo una auditoría con IA encontró el fallo que los expertos no detectaron en cuatro años
El defecto lo descubrió Taylor Hornby, ingeniero de seguridad contratado por Shielded Labs en abril para revisar el protocolo. Fecha del hallazgo: 29 de mayo de 2026. La herramienta utilizada fue un framework de auditoría asistido por inteligencia artificial, construido en torno al modelo Claude Opus 4.8 de Anthropic, publicado apenas el día anterior. Una restricción ausente en el circuito Orchard habría permitido un doble gasto interno al pool, es decir, la creación de tokens falsos indistinguibles de los legítimos. Durante más de tres años y medio, ningún revisor humano lo había detectado.
No es un detalle menor. Es la confirmación práctica de un cambio de rumbo que ya habíamos analizado al estudiar la seguridad de la DeFi en la era de los agentes de IA: los mismos modelos que aceleran los ataques ahora encuentran vulnerabilidades que las auditorías tradicionales pasan por alto. Shielded Labs publicó la divulgación explicando que el bug era imposible de demostrar a posteriori.
¿Mis ZEC están seguros tras el bug de Orchard?
Respuesta honesta: el riesgo no es la inflación de toda la cadena, sino la eventual insolvencia del pool. Según datos de Shielded Labs, alrededor del 30% de los ZEC en circulación, aproximadamente 5 millones de monedas, reside en direcciones shielded, y la mayoría pasa precisamente por Orchard. Si alguien hubiera acuñado tokens falsos, los titulares legítimos quedarían diluidos. Craig Salm, director legal de Grayscale, considera poco probable que el fallo fuera explotado antes del parche. El punto central es otro: a diferencia de Bitcoin o Ethereum, donde un exploit es visible en la cadena, aquí un ataque exitoso podría no dejar ninguna prueba. Jamás. Para quienes custodian activos, la lección es siempre la misma: conocer la diferencia entre hot y cold wallet y contar con una buena cartera hardware. La primera defensa empieza por uno mismo.
Arkham registró el daño: un único gran inversor perdió más de la mitad de una posición de 174 millones de dólares, según datos de Arkham Intelligence. No vendía ZEC desde hacía seis meses.
Lo que dice el desplome de todas las privacy coins
La cronología del precio cuenta dos oleadas. Tras el hard fork, ZEC había rebotado hasta los 624 dólares el 4 de junio, según CoinGecko. Luego salió Hayes, y la cascada de ventas lo arrastró por debajo de los 310. El fundador de BitMEX y CIO de Maelstrom explicó la decisión en X: su “Holy Trinity” de apuestas asimétricas, ZEC junto a HYPE y NEAR, había saltado por los aires. “La privacidad frente a la IA, los gobiernos y las grandes tecnológicas exige la perfección”, escribió. Publicación de @CryptoHayes del 5 de junio de 2026.
Precio ZEC, últimas sesiones (USD)
Precio ZEC, últimas sesiones (USD)
Fuente: CoinGecko, BitMEX Research · 5 de junio de 2026
Fuente: CoinGecko, BitMEX Research · 5 de junio de 2026
La narrativa de la privacidad había sido la más candente de 2025, como analizamos al cubrir los mil millones captados en torno a la privacidad cripto. Ahora esa misma propiedad que da valor a ZEC, la opacidad, se vuelve contra él. Aplica igual para Monero y para cualquier token que prometa anonimato total: si no puedes demostrar que el suministro es íntegro, tienes que fiarte. Y el mercado, en estos tiempos, confía poco. No es el primer golpe a la confianza del sector: basta con ver el peso de los ataques documentados en el análisis sobre los hacks de 2026 o el caso Kelp DAO de 292 millones.
Queda un dato que lo encuadra todo. ZEC cerró 2025 con una subida de aproximadamente el 691%, la mejor entre las privacy coins según CoinGecko, alcanzando los 744 dólares el 7 de noviembre. Quien entró en esos máximos hoy observa un gráfico clavado por debajo de los 310. La próxima confirmación que esperar no es de precio, sino técnica: los desarrolladores deberán decir si el Orchard Pool fue alguna vez realmente explotado. Mientras esa respuesta no llegue, el 40% destruido es el mercado poniendo precio a lo único que una privacy coin no puede permitirse. La duda.
