O Zcash perdeu mais de US$ 5 bilhões em valor de mercado depois que desenvolvedores identificaram uma falha crítica no Orchard, seu pool blindado mais avançado. Além disso, a descoberta contou com apoio do modelo Claude, da Anthropic, e aumentou a pressão sobre a segurança dos protocolos de privacidade no mercado de criptomoedas.

Após a divulgação, o preço do ZEC caiu mais de 50% e tocou cerca de US$ 255. Em seguida, o ativo recuperou parte das perdas e voltou para a faixa de US$ 321 no momento reportado. Como resultado, a capitalização do projeto recuou de aproximadamente US$ 10 bilhões para cerca de US$ 4,5 bilhões, antes de retornar para perto de US$ 5,3 bilhões.

Fonte: TradingView

Ainda assim, os desenvolvedores afirmaram que descobriram a vulnerabilidade antes de qualquer exploração conhecida. Eles também disseram que corrigiram o problema em poucos dias e neutralizaram o risco por meio de uma atualização emergencial da rede. No entanto, o episódio atingiu um ponto central para investidores: até que ponto um sistema que oculta valores e histórico de transações consegue preservar confiança quando surge uma falha na lógica do circuito?

Falha no Orchard pressiona a tese de privacidade

Lançado em 2016, o Zcash surgiu como uma das primeiras tentativas de criar dinheiro digital com foco em privacidade. Diferentemente do Bitcoin, a rede oferece endereços blindados que ocultam remetentes, destinatários e valores. Assim, o projeto voltou a ganhar relevância nos últimos meses, em meio ao avanço da vigilância financeira, da inteligência artificial e das ferramentas de análise de blockchain.

Dados do Zechub mostram que cerca de 30% do ZEC em circulação, ou mais de 5 milhões de moedas, está em endereços blindados. Além disso, essa concentração sustentava parte da narrativa de valor do ativo, já que investidores viam no protocolo uma alternativa mais resistente à rastreabilidade crescente.

Fonte: Zechub

Contudo, esse movimento virou rapidamente depois que a Shielded Labs detalhou uma vulnerabilidade técnica no Orchard. Segundo a equipe, Taylor Hornby, engenheiro de segurança contratado em abril, encontrou o problema em 29 de maio durante uma revisão do circuito criptográfico com apoio do modelo Claude Opus 4.8, da Anthropic.

De acordo com a Shielded Labs, o erro permitiria criar ZEC falsos dentro do Orchard sem detecção simples. Além disso, Hornby desenvolveu um exploit completo e o testou localmente. Nesse teste, ele gerou ZEC falsificados em quantidade ilimitada, com aparência de moedas válidas.

Desenvolvedores dizem que não houve uso malicioso conhecido

Após a identificação da falha, a equipe comunicou o caso imediatamente ao Zcash Open Development Lab, que coordenou uma resposta emergencial. Primeiro, os desenvolvedores aplicaram uma mudança temporária para desabilitar as ações afetadas do Orchard. Depois, implementaram um hard fork a fim de corrigir a vulnerabilidade e restaurar a funcionalidade completa da rede.

O caso chamou ainda mais atenção porque o Orchard funciona desde maio de 2022. Em outras palavras, a falha permaneceu presente por cerca de quatro anos, apesar de revisões anteriores conduzidas por criptógrafos, engenheiros e auditores.

Fonte: Zechub

Na prática, a vulnerabilidade afetava o conjunto de regras que governa as transações privadas do Zcash. Uma transação blindada inclui uma prova matemática de que seguiu as regras do protocolo, sem revelar o valor ou o histórico das moedas. Entretanto, no Orchard, uma dessas regras ficou permissiva o suficiente para aceitar informações falsas como válidas.

Em blockchains transparentes, problemas de oferta costumam ser mais fáceis de inspecionar, porque saldos e transferências permanecem visíveis. Já em um pool blindado, essas informações ficam ocultas de propósito. Por isso, os usuários dependem da integridade do circuito para garantir que toda transação privada siga as regras corretas.

Mercado reage à incerteza sobre a oferta do ZEC

Mert Mumtaz, cofundador e CEO da Helius, afirmou no X que esse risco, em teoria, não é exclusivo do Zcash. Segundo ele, protocolos de privacidade com provas de conhecimento zero podem sofrer inflação de oferta se alguém altamente sofisticado encontrar e explorar um bug de circuito sem detecção.

Embora os desenvolvedores tenham dito que não existe evidência de exploração, a impossibilidade de provar isso de forma definitiva pesou na reação do mercado. Cameron Winklevoss, cofundador da Gemini, defendeu a resposta da rede. Segundo ele, o Zcash conta com criptógrafos, engenheiros e pesquisadores de segurança de alto nível. Para Winklevoss, contratar especialistas para procurar bugs fortalece a segurança, em vez de justificar alarme.

Por outro lado, Arthur Hayes, cofundador da BitMEX, afirmou que vendeu toda a sua posição em ZEC após reavaliar a tese de privacidade. Em sua visão, ainda que a criação de moedas falsas pareça improvável, a ausência de prova formal muda a leitura do investimento. Segundo Hayes, a narrativa de privacidade diante da IA, dos governos e das big techs exige perfeição, não mera improbabilidade.

A própria Shielded Labs reconheceu essa limitação. De fato, a equipe admitiu que não existe uma forma definitiva de determinar, apenas com verificação cripto, se houve exploração antes da correção.

Atualização tenta restaurar a verificação da oferta

Para responder a essa incerteza, a Shielded Labs propôs uma atualização de rede que criaria um novo pool blindado. A proposta também usaria contabilidade do tipo turnstile para as moedas que migrassem para fora do Orchard. Dessa forma, a equipe pretende reconstruir a confiança do mercado por meio de uma migração capaz de reconciliar valores à medida que os fundos entrarem em um novo sistema.

Esse processo, porém, continua tecnicamente complexo e socialmente sensível. Se nenhum ZEC falsificado existir, a migração pode restaurar a confiança. Por outro lado, se surgir qualquer incompatibilidade, a comunidade terá de decidir quais saldos reconhecer e como proteger usuários que mantinham recursos no pool afetado.

Josh Swihart, fundador da empresa focada em Zcash ZODL, afirmou que a prioridade de longo prazo envolve impedir falhas semelhantes. Para isso, ele destacou a verificação formal, processo que usa provas matemáticas para confirmar que a implementação de um circuito corresponde exatamente às regras pretendidas.

IA amplia pressão sobre segurança no mercado cripto

O episódio do Zcash reforça uma mudança importante na economia da segurança de software. A inteligência artificial não criou a vulnerabilidade do Orchard. Ainda assim, encurtou drasticamente o tempo entre a existência de um risco oculto e sua descoberta pública.

Esse cenário amplia um desafio para todo o mercado cripto, porque protocolos de criptomoedas dependem de código aberto e de lógica financeira complexa para administrar grandes volumes de capital. Assim, redes de primeira camada, aplicações de finanças descentralizadas e pontes entre blockchains seguem expostas a falhas estruturais que auditorias iniciais podem não detectar.

No mês anterior à divulgação deste caso, Manuel Aráoz, cofundador da OpenZeppelin, alertou investidores a deixar o setor de DeFi. Segundo ele, agentes de IA já conseguem identificar vulnerabilidades muito mais rápido do que revisores humanos. Ao mesmo tempo, a Anthropic revelou discretamente o Claude Mythos, um modelo voltado à busca de falhas que foi considerado perigoso demais para lançamento público.

Deddy Lavid, diretor executivo da empresa de segurança blockchain Cyvers, estimou que a exposição financeira do setor a explorações impulsionadas por IA varia facilmente de centenas de milhões a bilhões de dólares. Além disso, Barry Silbert, presidente da Grayscale, enquadrou o caso do Zcash como evidência de que os ativos digitais já operam em um ambiente de ameaças habilitadas por IA.

Tyler Winklevoss, também cofundador da Gemini, afirmou que a segurança de software sempre foi uma corrida contínua entre desenvolvedores e agentes maliciosos. Agora, segundo ele, a inteligência artificial apenas acelerou esse jogo para ambos os lados.

Ao fim, o caso concentrou em poucos dias uma queda superior a 50% no preço do ZEC, uma perda acima de US$ 5 bilhões em valor de mercado e a confirmação de correção por hard fork. A incerteza, contudo, permanece: não existe evidência de exploração, mas também não há prova cripto definitiva de que nenhuma moeda falsa tenha surgido antes do conserto.