Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
A falha do Zcash assistida por IA expõe a lacuna de integridade do fornecimento que um fork de emergência não conseguiu fechar totalmente
A exploração que quase quebrou o Zcash se originou dentro do circuito de prova de conhecimento zero que alimenta o Orchard, o mais novo pool protegido do Zcash, e o núcleo criptográfico de seu sistema de transações privadas.
Taylor Hornby, pesquisador de segurança do Shielded Labs, descobriu-o em 29 de maio, durante uma revisão de segurança de protocolo direcionada.
Em poucas horas, os engenheiros da ZODL confirmaram a falha e a Zcash executou um soft fork de emergência e, em seguida, um hard fork de consenso total para fechá-la.
De acordo com o Shielded Labs, Hornby usou Antrópico Opus 4.8, lançado no dia anterior, em 28 de maio, junto com um equipamento e instruções de IA personalizados, para produzir um exploração local completa em um ambiente de registro.
Se aplicada à rede principal, a exploração poderia ter gerado falsificações ilimitadas ZEC dentro do pomar sem detecção.
Zcash posição oficial é que não há evidências de exploração da rede principal, nenhuma criação de valor não autorizada foi detectada e o limite de fornecimento de 21 milhões de ZEC permanece intacto, protegido pelo mecanismo de catraca que rastreia a movimentação de valor entre pools.
Shielded Labs mantém uma linha mais dura, alertando que as propriedades de privacidade de Orchard tornam criptograficamente difícil provar que o fornecimento nunca foi adulterado e propondo uma atualização adicional para rotear moedas através da contabilidade da catraca para que qualquer pessoa possa verificar a integridade diretamente.
ZEC foi negociado até US$ 611 intradiário antes da divulgação e caiu acentuadamente, fechando em torno de US$ 421 como o mercado calculou a diferença entre “remendado” e “comprovadamente limpo”.
O quadro mais amplo é que as explorações assistidas por IA estão se movendo de direcionar protocolos DeFi afectar directamente a camada monetária.
O bug que exigiu uma atualização de consenso
O circuito de prova de Orchard continha um bug de solidez: um sistema de prova aceitava algo que deveria ter rejeitado, e consertá-lo exigia a atualização da chave de verificação fixada embutida no circuito.
O processo de atualização constitui uma mudança em nível de consenso e exige um acordo de rede coordenado entre mineradores, trocasprovedores de carteiras e operadores de infraestrutura, todos movendo-se juntos em um cronograma compacto.
O soft fork de emergência foi ativado às 02:00 UTC do dia 2 de junho no bloco 3.363.426, desativando temporariamente as ações do Orchard.
O hard fork NU6.2 ocorreu em 3 de junho às 00h05 EDT no bloco 3.364.600, substituindo o circuito e restaurando a funcionalidade completa do Orchard. Zcash coordenou a resposta em segredo e sob pressão do mercado enquanto a corrente continuou funcionandoe o cronograma de correção desde a descoberta até a ativação do hard fork foi inferior a cinco dias.
IA na camada de dinheiro
O Opus 4.8 foi lançado com benchmarks de codificação e raciocínio aprimorados, e a Shielded Labs diz que Hornby o usou junto com um equipamento de IA personalizado para conduzir uma revisão direcionada do circuito Orchard, produzindo uma exploração local funcional que teria funcionado na rede principal.
A Zcash não verificou de forma independente o papel específico da IA no processo de pesquisa, mas a afirmação se enquadra em um padrão que vai muito além da Zcash.
Em fevereiro de 2026, a Octane divulgou que sua IA encontrou um bug de alta gravidade em Nethermindum Ethereum cliente de execução, isso poderia ter causado a interrupção da produção de blocos locais para cerca de 38% dos validadores Ethereum. A vulnerabilidade foi corrigida antes de ser explorada e estava enraizada na infraestrutura do cliente.
Um artigo arXiv de janeiro de 2026 na geração de exploração de agente de IA encontraram uma taxa de sucesso de 63% em um benchmark de contrato inteligente, pesquisa na camada de aplicativo demonstrando a mesma compressão do ciclo de descoberta de vulnerabilidades que Orchard e Nethermind agora mostram um nível mais profundo.
| Camada | Antigo foco em IA/segurança | Exemplos de 2026 | Por que isso importa |
|---|---|---|---|
| Camada de aplicativo | Contratos inteligentes, protocolos DeFi, pontes | Benchmark de geração de exploits de agente de IA com taxa de sucesso de 63% | Perdas específicas do protocolo |
| Infraestrutura do cliente | Clientes de execução, validadores, software de nó | Octane AI encontra bug Nethermind afetando cerca de 38% dos validadores | Pode prejudicar a vivacidade da cadeia |
| Camada de prova/dinheiro | Circuitos ZK, contabilidade de fornecimento, regras de validade | Bug de integridade do Zcash Orchard | Pode afetar a validade do dinheiro privado |
| Camada de controle operacional | Chaves, carteiras, sistemas de acesso | Tendência TRM / Hacken em direção a chaves, carteiras, aviões de controle | Os ataques ignoram totalmente o código do contrato |
Laboratórios TRM’ O Crypto Crime Report de 2026 contou US$ 2,87 bilhões roubados em quase 150 hacks em 2025, com adversários concentrando ataques em chaves, carteiras e aviões de controle. Estas são a infraestrutura operacional e criptográfica sob o código do contrato, onde ficam as divulgações Zcash e Nethermind.
O problema de provar a negativa
As blockchains públicas tornam o dinheiro auditável desde a concepção, com cada transação visível, cada saldo derivável do estado da cadeia.
Moedas de privacidade inverta essa garantia, e toda a proposta de valor da Zcash é que os saldos e valores das transações da Orchard permaneçam ocultos de observadores externos.
Essa inversão cria uma tensão quando um bug de solidez aparece no circuito de prova, uma vez que a mesma privacidade que protege os usuários também torna impossível examinar o histórico da Orchard em busca de evidências de valor falsificado.
A resposta da Fundação Zcash é o mecanismo de catraca, que rastreia os fluxos de valor agregado que entram e saem de cada pool protegido sem revelar transações individuais.
Torniquete análise não encontrou nenhuma evidência de criação de valor não autorizada na janela antes da remediação. A próxima atualização proposta pela Shielded Labs encaminharia as moedas Orchard existentes de volta através da contabilidade da catraca, criando um registro na cadeia que qualquer pessoa poderia verificar, convertendo uma garantia probabilística em criptográfica.
Até que essa atualização seja concluída, a janela entre “nenhuma exploração detectada” e “fornecimento comprovadamente limpo” persiste.
Se as revisões de segurança assistidas por IA se tornarem uma prática padrão para a infraestrutura da camada base, incluindo circuitos de prova, clientes de consenso, lógica validadora e mecanismos de contabilidade de fornecimento, o incidente Zcash servirá como uma prova de processo.
A IA encontrou uma falha profunda, a divulgação coordenada a conteve e uma proposta de atualização subsequente fecha a lacuna epistêmica.
A divulgação Nethermind da Octane segue o mesmo modelo, e as cadeias que constroem capacidade de resposta coordenada em torno de auditorias assistidas por IA absorvem essas descobertas antes que os adversários possam alcançá-las.
Relatório de Hacken para o primeiro trimestre registrou US$ 482,6 milhões em fundos roubados em 44 incidentes, com comprometimentos de carteira ultrapassando erros de código em valor nas principais DeFi incidentes.
Os adversários assistidos por IA operam sem obrigações de divulgação, e é nessa mesma camada de infraestrutura que os ataques já estão concentrados. Um pesquisador com o kit de ferramentas e intenções maliciosas de Hornby que encontra uma falha comparável antes dos defensores enfrenta um alvo cujas propriedades de privacidade impedem a detecção post hoc.
O forte movimento intradiário da ZEC após a divulgação reflete que o mercado já preço em um bug corrigido no circuito de prova de uma moeda de privacidade, deixando um desconto de confiança residual que nenhum comunicado de imprensa pode fechar totalmente, porque a garantia que o sistema precisa fornecer é a mais difícil de ser fornecida por um sistema de privacidade.
Clientes de consenso, circuitos de prova e regras de fornecimento são a camada de pesquisa assistida por IA alcançada em 2026, e a postura de segurança de cada grande cadeia agora precisa levar em conta um modelo de ameaça que não existia quando esses sistemas foram projetados.
