Uma inteligência artificial acaba de protagonizar o episódio mais importante da segurança cripto em 2026. O pesquisador Taylor Hornby, contratado pela Shielded Labs para revisar o protocolo do Zcash, usou um framework de auditoria próprio acoplado ao Claude Opus 4.8, modelo da Anthropic, e encontrou em poucos dias uma falha que passou despercebida por humanos durante quatro anos: um bug no pool Orchard que permitia criar ZEC falso de forma ilimitada e indetectável. O token desabou até 38% no dia da revelação.
Negocie BTC e USDT com segurança via PIX →
O que era o bug do Zcash
O Zcash é a principal criptomoeda de privacidade baseada em provas de conhecimento zero (zk-SNARKs). Seu pool blindado Orchard, lançado em maio de 2022, esconde remetente, destinatário e valores das transações. O problema: um elemento “sub-restringido” (under-constrained) no circuito criptográfico permitia passar entradas falsas em uma multiplicação de curva elíptica — e a rede aprovava a prova mesmo assim.
Na prática, qualquer um que conhecesse a falha poderia imprimir ZEC do nada, dentro do pool privado, sem que nenhum observador externo conseguisse detectar. Hornby foi além da teoria: escreveu um programa de exploit completo que gerou ZEC falsificado ilimitado em ambiente de teste local.
A linha do tempo da correção
| Data | Evento |
|---|---|
| Maio/2022 | Pool Orchard entra no ar — com a falha embutida |
| Abril/2026 | Shielded Labs contrata Taylor Hornby para revisão contínua do protocolo |
| 28/05/2026 | Anthropic lança o Claude Opus 4.8 |
| 29/05/2026 | Hornby, usando framework de auditoria com IA, encontra a vulnerabilidade |
| 01/06/2026 | Correção emergencial desenvolvida e validada |
| 02/06/2026 | Soft fork desativa temporariamente transações Orchard |
| 03/06/2026 | Hard fork NU6.2 ativa o circuito corrigido — falha fechada em definitivo |
A resposta da comunidade Zcash foi exemplar — menos de uma semana entre descoberta e hard fork. Mas o mercado não perdoou: o ZEC despencou entre 31% e 38% no dia da divulgação, e o episódio foi citado como um dos três gatilhos da pior semana do Bitcoin desde a FTX.
O detalhe inquietante: ninguém sabe se o bug foi explorado
A mesma privacidade que torna o Orchard valioso é a que torna a exploração indetectável. Não existe forma criptográfica de saber se alguém mintou ZEC falso entre maio de 2022 e junho de 2026.
— Síntese das divulgações da Shielded Labs
É o paradoxo das moedas de privacidade: se a oferta tivesse sido inflada silenciosamente, o supply real de ZEC seria desconhecido. Como resposta estrutural, o ecossistema acelerou a proposta Ironwood — um novo pool blindado com verificação formal e um “turnstile” que permite auditar o supply sem quebrar a privacidade, previsto para o fim de julho.
Prefira liquidez auditável: compre BTC via PIX →
Por que isso muda a segurança de todas as blockchains
O episódio inaugura uma era em que modelos de IA auditam código criptográfico melhor (e mais rápido) que times humanos. A falha do Zcash sobreviveu a quatro anos de auditorias tradicionais, revisões de pares e bug bounties — e caiu em dias diante de um framework com IA. As implicações são de mão dupla:
- Defesa: projetos sérios vão incorporar auditoria contínua com IA. Quem não fizer, ficará para trás — segurar um token sem auditoria moderna virou risco mensurável;
- Ataque: as mesmas ferramentas estão disponíveis para quem procura falhas para explorar. A corrida entre auditores e atacantes acaba de mudar de velocidade;
- Confiança: até Tom Lee citou a vulnerabilidade do Zcash como argumento para concentrar posição em redes maduras e massivamente auditadas, como o Ethereum.
O caso em números
4 anos
Falha ativa sem detecção
-38%
Queda do ZEC no dia
5 dias
Da descoberta ao hard fork
Perguntas Frequentes
O bug do Zcash foi corrigido?
Sim. Um soft fork desativou temporariamente as transações Orchard em 2 de junho e o hard fork NU6.2, ativado em 3 de junho de 2026, introduziu o circuito corrigido, fechando a falha em definitivo.
Alguém chegou a explorar a falha?
Impossível saber. Por se tratar de um pool de privacidade, não existe forma criptográfica de verificar se ZEC falsificado foi criado entre maio de 2022 e junho de 2026. A proposta Ironwood, prevista para julho, cria um mecanismo de auditoria de supply para evitar essa incerteza no futuro.
Foi a IA que encontrou o bug sozinha?
Não exatamente. O pesquisador Taylor Hornby construiu um framework de auditoria que usa o modelo Claude Opus 4.8, da Anthropic, como motor de análise. A combinação humano + IA encontrou em dias o que quatro anos de auditorias tradicionais não viram.
O Bitcoin corre o mesmo risco?
O Bitcoin não usa provas de conhecimento zero e tem o supply publicamente auditável por qualquer nó — qualquer inflação indevida seria detectada imediatamente. É justamente essa transparência que diferencia o BTC das moedas de privacidade nesse tipo de risco.
Compre Bitcoin com 10 anos de histórico P2P →
Leia também: Hack do Humanity Protocol: token H cai 85% e US$ 30 milhões somem
Mais lidas no Blog
- Coreia do Norte hackeia Drift: US$ 285 milhões roubados
- Por que o Bitcoin está caindo? BTC perde os US$ 70 mil em junho de 2026
- Drex foi cancelado? BC desliga plataforma e abre caminho para stablecoins
- Receita Federal aperta cripto em 2026: stablecoin vai pagar imposto e chega o DeCripto
- MAP Protocol: hack na bridge Butter Network