En mayo de 2026, el investigador Taylor Hornby usó Claude Opus 4.8 de Anthropic para detectar un bug crítico en Zcash que existía desde 2022, capaz de permitir la falsificación ilimitada e indetectable de monedas. La falla era un error de solidez en el circuito de conocimiento cero del pool blindado Orchard de Zcash.

Create a landscape editorial hero image for this Studio Global article: What role did Anthropic's AI models play in the discovery of a critical Zcash protocol vulnerability, what was the technical nature of the b. Article summary: Here is a comprehensive breakdown of the incident.. Topic tags: general, general web, user generated, news. Reference image context from search candidates: Reference image 1: visual subject "Multiple outlets, including The Block and Gizmodo, report that independent security researcher Taylor Hornby discovered a critical soundness bug in Zcash's Orchard shielded-pool ci" source context "Claude AI Exposes Critical Zcash Vulnerability | Let's Data Science" Reference image 2: visual subject "# A Controversial Altcoin Had Its Code Analyzed Using Anthropic’s State-of-the-Art AI Model – Founder Issues Statement. The founder of an altcoin that recently became the subje
El 28 de mayo de 2026, Anthropic lanzó al público su modelo Claude Opus 4.8. En menos de 24 horas, el investigador de seguridad independiente Taylor Hornby —contratado por Shielded Labs para auditar el protocolo Zcash— lo usó para encontrar una vulnerabilidad crítica que había estado oculta a plena vista durante cuatro años . El hallazgo desencadenó un parche de emergencia, una divulgación pública y una debacle en los mercados que borró entre el 40% y el 50% del valor de ZEC
. Este evento es el primer caso confirmado públicamente de un modelo de lenguaje de gran escala (LLM) de vanguardia encontrando una vulnerabilidad criptográfica crítica en un protocolo de conocimiento cero en producción
.
Taylor Hornby no se limitó a pedirle a Claude Opus 4.8 que "encontrara bugs". Construyó un marco de trabajo personalizado llamado "Auditor de Pila Completa de Zcash", que aprovechó las capacidades de razonamiento del modelo para rastrear sistemáticamente la lógica del circuito del pool blindado Orchard de Zcash . Esta herramienta le permitió dirigir el análisis de la IA hacia el complejo sistema de pruebas de conocimiento cero basado en Halo2 que asegura las transacciones privadas de Zcash.
El 29 de mayo, el marco sacó a la luz una inconsistencia lógica que los auditores humanos, en múltiples revisiones formales desde la activación de Orchard en mayo de 2022, habían pasado por alto . Hornby no solo documentó una debilidad teórica, sino que utilizó la asistencia de la IA para escribir un exploit funcional que acuñó ZEC falsificados con éxito en un entorno de pruebas local
. La velocidad del hallazgo —un día después del lanzamiento público del modelo— puso de relieve un cambio radical en lo que la investigación de seguridad aumentada por IA podía lograr
.
Es importante recalcar que el avance fue una colaboración entre un experto humano altamente cualificado y un modelo de vanguardia. La IA proporcionó razonamiento sistemático y reconocimiento de patrones en una base de código masiva; el investigador humano planteó el problema, construyó el entorno de auditoría y validó los hallazgos .
La vulnerabilidad era un fallo de "solidez" (soundness bug) en el circuito del pool blindado Orchard, el principal mecanismo de privacidad para las transacciones protegidas de Zcash . En un sistema de pruebas de conocimiento cero, la "solidez" (soundness) significa que debe ser computacionalmente imposible crear una prueba válida para una declaración falsa. El circuito Orchard contenía un elemento insuficientemente restringido que rompía esta propiedad.
Específicamente, un valor en las profundidades de la caja de herramientas de Halo2 quedó "desanclado" de un punto base real, permitiendo que entradas matemáticamente inválidas pasaran una verificación de curva elíptica . En términos más sencillos, una comprobación que se suponía debía validar las entradas de una transacción, en realidad no estaba aplicando las reglas que aparentaba hacer cumplir
. El resultado: un atacante podría falsificar pruebas de conocimiento cero válidas que autorizaran la creación de una cantidad ilimitada de ZEC falsos dentro del pool blindado.
Dado que las transacciones Orchard son privadas por diseño, las monedas falsificadas serían indistinguibles de las legítimas en la cadena de bloques . No habría forma de auditar el blockchain y detectar la oferta falsa. El bug estuvo activo desde la introducción de Orchard en mayo de 2022, lo que significa que pasó desapercibido durante aproximadamente cuatro años
.
Un punto crucial es que, debido a las propiedades de privacidad de Orchard y a la naturaleza de la falla, Shielded Labs declaró que no existe un método criptográfico para determinar si la vulnerabilidad fue explotada alguna vez por agentes maliciosos . Esta incertidumbre se convirtió en una fuente central de ansiedad después de la divulgación.
Una vez que Hornby reportó el bug al Laboratorio de Desarrollo Abierto de Zcash (Zcash Open Development Lab), la respuesta fue rápida :
Wilcox confirmó que el parche se implementó con éxito antes del anuncio público, lo que significa que no se perdieron fondos conocidos por una explotación posterior a la divulgación . El enfoque coordinado de "parchear primero, divulgar después" siguió la práctica estándar de gestión de vulnerabilidades, pero la velocidad requerida —del descubrimiento a un hard fork en toda la red en tres días— fue extraordinaria.
Tras la corrección de emergencia, Shielded Labs solicitó a Anthropic que ejecutara una auditoría completa del protocolo por separado, utilizando su modelo restringido de frontera, Mythos. Esa auditoría confirmó que no existían vulnerabilidades críticas adicionales en el protocolo a fecha del 12 de junio de 2026 . Esta revisión exhaustiva ayudó a restaurar parcialmente la confianza, aunque la incertidumbre central sobre una posible explotación previa al parche se mantuvo.
Los mercados reaccionaron con dureza a la divulgación pública del 4 de junio. El precio de ZEC se desplomó aproximadamente entre un 40% y un 50% en los días siguientes, con informes que describían cómo la criptomoneda pasó de "cotizar a niveles mucho más altos apenas semanas antes" a una caída en picado . Varias fuentes citan un rango de caídas de entre el 31% y el 50%, siendo la magnitud más referenciada la de un 40%–50% aproximadamente
.
La liquidación masiva reflejó el pánico en varios frentes. Primero, la mera gravedad del bug —falsificación infinita e indetectable en una de las principales criptomonedas de privacidad— minó la confianza fundamental en las garantías de seguridad del protocolo. Segundo, el hecho de que un modelo de IA encontrara una falla que años de auditorías formales lideradas por humanos habían pasado por alto, planteó preguntas inquietantes sobre la superficie de vulnerabilidad en otras criptomonedas, incluyendo Ethereum . Tercero, la incertidumbre permanente sobre si el bug ya había sido explotado dejó un déficit de confianza que una solución técnica por sí sola no podía cerrar
.
Los operadores reevaluaron la seguridad de una de las redes de privacidad más prominentes del mundo cripto, y la revalorización del precio fue rápida y severa .
El incidente de Zcash es ampliamente visto como un momento decisivo para el potencial de doble uso de la IA en la seguridad de software crítico .
El valor defensivo es claro. Un modelo de IA, combinado con la dirección experta de un humano, encontró un error catastrófico que auditores humanos no detectaron durante cuatro años, y lo hizo un día después del lanzamiento del modelo . Esto demuestra que la IA de vanguardia puede mejorar drásticamente la velocidad, profundidad y exhaustividad de las auditorías de seguridad para sistemas criptográficos complejos. La auditoría de seguimiento con Mythos que dio el visto bueno al resto del protocolo sugiere un futuro donde la auditoría continua impulsada por IA se convierta en una práctica estándar para infraestructuras de alto riesgo
.
El enfoque de Hornby —construir un marco agéntico personalizado en lugar de simplemente pedirle al modelo— también mostró que las aplicaciones defensivas más poderosas provienen de integrar la IA en flujos de trabajo de seguridad sistemáticos, y no de tratarla como un oráculo independiente.
Las implicaciones ofensivas son igualmente crudas. La misma capacidad que encontró este bug puede ser utilizada como arma por actores maliciosos para descubrir y explotar vulnerabilidades de día cero a velocidad de máquina . Si un grupo de sombrero negro hubiera aplicado técnicas similares a Zcash antes que un investigador de sombrero blanco, podrían haber acuñado silenciosamente monedas falsas ilimitadas, drenado la liquidez y desaparecido, todo antes de que se implementara cualquier parche.
Bloomberg describió el evento como una muestra de "la magnitud de la amenaza del hackeo con IA" . Bloomberg y otros medios señalaron que el incidente planteaba preguntas urgentes sobre si las normas actuales de divulgación responsable están calibradas para vulnerabilidades descubiertas a la velocidad de la IA
. Cuando una IA puede encontrar una falla crítica en horas, la ventana para un parche coordinado antes de una explotación hostil colapsa.
Investigadores de seguridad han advertido que esto no es una preocupación teórica. El incidente de Zcash es el primer ejemplo confirmado públicamente, pero casi con toda seguridad no será el último .
Quizás el aspecto más inquietante de todo el episodio es la incertidumbre irresoluble. Debido a que Zcash es una criptomoneda de privacidad, no hay forma de probar criptográficamente si el bug fue explotado durante sus cuatro años de vida . El equipo de desarrollo consideró que la explotación era "poco probable", pero reconocieron que literalmente no pueden confirmarlo
. Esto crea un problema de confianza duradero, no solo para Zcash, sino para cualquier sistema que preserve la privacidad donde una falla podría haber sido explotada silenciosamente antes de su descubrimiento.
El incidente de Zcash marca el fin de la era en la que la seguridad de los protocolos criptográficos podía depender únicamente de auditorías humanas periódicas. El descubrimiento de vulnerabilidades asistido por IA es ahora una capacidad demostrada, con todo el poder asimétrico que eso implica.
Para los desarrolladores de protocolos, las implicaciones son claras: integrar modelos de IA de vanguardia en los procesos de revisión de seguridad continua ya no es opcional, es un imperativo, porque los adversarios seguramente harán lo mismo. Para la comunidad de IA, el evento refuerza la necesidad de un despliegue reflexivo de capacidades que pueden reutilizarse fácilmente para fines ofensivos. Y para el ecosistema cripto en general, sirve como un severo recordatorio de que incluso los sistemas revisados más rigurosamente pueden albergar fallas catastróficas que una IA bien dirigida puede sacar a la luz en cuestión de horas.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
En mayo de 2026, el investigador Taylor Hornby usó Claude Opus 4.8 de Anthropic para detectar un bug crítico en Zcash que existía desde 2022, capaz de permitir la falsificación ilimitada e indetectable de monedas.
En mayo de 2026, el investigador Taylor Hornby usó Claude Opus 4.8 de Anthropic para detectar un bug crítico en Zcash que existía desde 2022, capaz de permitir la falsificación ilimitada e indetectable de monedas. La falla era un error de solidez en el circuito de conocimiento cero del pool blindado Orchard de Zcash.
El incidente es una demostración emblemática del doble uso de la IA en ciberseguridad: acelera auditorías defensivas, pero la misma capacidad podría usarse para explotar vulnerabilidades de día cero.