Zcash (o token é conhecido como ZEC) está enfrentando uma enorme onda de ceticismo depois que a comunidade de desenvolvimento publicou detalhes sobre uma vulnerabilidade crítica em Pomaro pool protegido mais recente da rede. ZEC caiu mais de 50% em um ponto após esta informação, antes de se recuperar para US$ 367,35 em 6 de junho.
A vulnerabilidade foi descoberta em 29 de maio por pesquisador de segurança Taylor Hornby e foi corrigido por meio de uma atualização de emergência alguns dias depois. O Zcash Open Development Lab (ZODL) afirmou que não há evidências de que o bug tenha sido explorado ou que o ZEC não autorizado tenha sido criado. No entanto, este bug pode permitir a criação de ZEC falsificados no Orchard, enquanto o design privado deste pool torna difícil provar definitivamente que ele nunca foi explorado.
O que aconteceu
A vulnerabilidade foi descoberta em 29 de maio em Orchard, onde as transações são verificadas usando provas de conhecimento zero para manter a privacidade do usuário. De acordo com o Laboratório de desenvolvimento aberto Zcasho pesquisador de segurança Taylor Hornby descobriu o bug durante uma auditoria encomendada pela Shielded Labs e relatou-o à equipe de engenharia da ZODL logo em seguida.
O problema está no mecanismo de verificação de transações da Orchard. Se explorada, esta vulnerabilidade pode fazer com que o sistema aceite transações inválidas no Orchard. A ZODL confirmou o relatório em poucas horas e começou a preparar um plano de mitigação com as operadoras de rede.
Devido ao bug envolvendo regras de consenso, Zcash teve que lidar com isso por meio de uma atualização de rede, em vez de uma carteira padrão ou atualização de nó. A ZODL primeiro pausou as atividades relacionadas ao Orchard por meio de um soft fork para limitar os riscos e, em seguida, implantou um hard fork para atualizar o circuito fixo e restaurar o Orchard.
Linha do tempo principal:
- 29 de maio: Taylor Hornby descobre e relata a vulnerabilidade do Orchard ao ZODL.
- 30 a 31 de maio: ZODL confirma o bug, prepara o patch e inicia a coordenação privada com mineradores, bolsas e operadores de infraestrutura.
- 1 a 2 de junho: Zcash ativa o soft fork, pausando a criação de novos resultados e o gasto dos saldos existentes no Orchard.
- 3 de junho: O hard fork é concluído e Orchard é reativado com o circuito fixo.
Por que o bug é importante
O ponto crítico do bug Orchard está em solidez—a capacidade de garantir que o sistema aceite apenas provas e estados válidos. Quando esta garantia é quebrada, uma prova pode ser aceite mesmo que o estado por trás dela não cumpra as regras do protocolo.
De acordo com um artigo de Zooko Wilcox, Jason McGee e Taylor Hornby, Hornby criou com sucesso uma exploração completa em um ambiente de teste local. Nesse ambiente, a exploração poderia criar ZEC falsificados no Orchard sem ser detectado.
— zooko🛡🦓🦓🦓 ⓩ (@zooko) 4 de junho de 2026
Se um bug semelhante fosse explorado na rede principal, a consequência não seria apenas uma única transação incorreta sendo aceita. Poderia distorcer a contabilização do pool protegido e levantar diretamente questões sobre a integridade do fornecimento de ZEC.
O que permanece obscuro
ZODL afirmou que há nenhuma evidência que a vulnerabilidade foi explorada, nenhuma criação não autorizada de ZEC foi detectada e nenhum impacto na privacidade dos ativos nos pools do Zcash foi registrado. O grupo também disse que o fornecimento total de ZEC permaneceu seguro após verificações durante a resposta ao incidente.
O que ainda não está claro é se a vulnerabilidade foi explorada antes de ser corrigida. A Shielded Labs afirmou que, devido à natureza privada deste pool, é impossível confiar apenas nas evidências criptográficas existentes para confirmar absolutamente que a vulnerabilidade nunca foi explorada antes de ser corrigida. Mesmo assim, o grupo avalia a probabilidade de exploração prévia como baixa, tendo em vista que o bug é de difícil detecção e a resposta do ecossistema foi rápida após o recebimento do relatório.
Reação do Mercado
A certa altura, o ZEC caiu mais de 50%, da faixa de US$ 600 para menos de US$ 260, após a disseminação de informações sobre a vulnerabilidade do Orchard. De acordo com dados da CoinGecko, o token está sendo negociado atualmente em torno de US$ 367,35, uma queda de 10,8% em 24 horas, com o volume de negociação no mesmo período atingindo US$ 3,35 bilhões.
Gráfico de preços ZEC (1D). Fonte: TradingView
No contexto de Zcash ter um fornecimento máximo de 21 milhões de ZEC, as informações sobre um bug que poderia criar ZEC falsificados num pool protegido rapidamente mudaram a narrativa de uma questão técnica para uma questão de confiança no fornecimento.
Como Zcash respondeu
A ZODL afirmou que o processo de remediação exigia coordenação em nível de rede porque o bug estava relacionado ao consenso. Mineradores, exchanges, operadores de nós, carteiras, infraestrutura e outras partes independentes tiveram que implantar coletivamente software atualizado para que a atualização fosse ativada com sucesso.
A resposta foi implantada com uma abordagem de mitigação de risco primeiro, seguida por uma resolução completa: Orchard foi temporariamente pausado enquanto a rede se preparava para a atualização e depois restaurada quando o circuito fixo foi ativado. A ZODL afirmou que o software de nó relevante e os SDKs de carteira também foram atualizados após a atualização.
De acordo com a ZODL, esta é a segunda atualização de protocolo orientada à segurança na história da Zcash desde o lançamento da rede em 2016. A ZODL afirmou que o software de nó relevante e os SDKs de carteira foram atualizados após a atualização.
O que vem a seguir
A Shielded Labs afirmou que está trabalhando em uma nova proposta de atualização de rede para que os usuários possam verificar a integridade do fornecimento de Zcash de forma mais direta. A ideia em discussão é implantar um novo pool protegido e aplicar a contabilidade de catraca aos ativos que saem do Orchard, verificando assim se o pool antigo contém valores inválidos.
Esta proposta ainda precisa passar pelo processo de governança padrão do Zcash antes de poder ser ativada. A Shielded Labs também afirmou que está se preparando para publicar mais detalhes sobre esta opção e iniciar um projeto formal de verificação para o circuito Orchard. Por enquanto, a vulnerabilidade foi corrigida e Orchard está online novamente. O próximo foco é se o Zcash pode apresentar um mecanismo convincente o suficiente para lidar com a incerteza em relação ao fornecimento no período anterior à implantação do patch.
