Rodolpho Valadares.
Newsletter
← Todos os artigos Notícias

Zcash: o bug invisível de 4 anos que derrubou o ZEC em 50% — e foi encontrado por uma IA

Uma falha crítica no sistema de privacidade do Zcash, ativa desde 2022, permitiria criar ZEC falsos de forma indetectável. Foi descoberta por um engenheiro de segurança usando inteligência artificial, corrigida em silêncio e revelada ao público dias depois — derrubando o preço pela metade. Entenda o que aconteceu, o que ainda não dá para saber e o que isso ensina.

Rodolpho Valadares · · 8 min de leitura

Na noite de 4 de junho de 2026, a Shielded Labs — uma das organizações que desenvolvem o Zcash — publicou uma revelação desconfortável: o Orchard, o sistema de privacidade mais avançado da rede, carregava desde maio de 2022 uma falha crítica que, se explorada, permitiria a um atacante criar ZEC falsificados em quantidade ilimitada, sem deixar rastro. O bug passou quatro anos despercebido — por auditorias humanas, por especialistas em criptografia, por todo mundo.

A reação do mercado foi imediata: o ZEC, que valia US$ 624 no pico de 4 de junho, despencou para cerca de US$ 309 em menos de 48 horas — uma queda de aproximadamente 50%, chegando a tocar mínimas perto de US$ 252 nos dias seguintes, segundo a BitMEX Research e dados da CoinGecko.

A história tem todos os ingredientes de um caso para se estudar com calma: criptografia de ponta, um detalhe que ninguém viu, uma inteligência artificial no papel de descobridora e uma pergunta que talvez nunca tenha resposta.

Primeiro, o básico: o que é o Zcash (ZEC)

ZEC é a sigla — o “ticker” — do Zcash, uma criptomoeda lançada em 2016 por uma equipe de criptógrafos, a partir do próprio código do Bitcoin. O Zcash herdou várias características do Bitcoin (incluindo o limite máximo de 21 milhões de moedas), mas nasceu para resolver um ponto específico: a privacidade.

A diferença fica clara na comparação:

  • No Bitcoin, todas as transações são públicas. Qualquer pessoa pode abrir o histórico da rede e ver quanto saiu de cada endereço e para onde foi — é como um extrato bancário aberto ao mundo, apenas sem o nome do titular na capa.
  • No Zcash, o usuário pode escolher fazer transações blindadas (shielded): remetente, destinatário e valor ficam ocultos. Só as partes envolvidas conhecem os detalhes. (Também existem transações transparentes, iguais às do Bitcoin — a privacidade é opcional.)

A mágica por trás disso são as provas de conhecimento zero (zero-knowledge proofs) — uma técnica matemática que permite provar que uma transação é válida (“eu tenho esse dinheiro e não estou gastando duas vezes”) sem revelar nenhum detalhe dela. É uma das tecnologias mais sofisticadas do setor, hoje usada também em outros projetos. Por causa dela, o Zcash é classificado como moeda de privacidade (privacy coin), ao lado de redes como a Monero.

Dentro do Zcash, as moedas blindadas ficam registradas no que se chama de shielded pool — a “piscina blindada”. O Orchard, ativado em maio de 2022, é a versão mais moderna desse sistema. Para dar a dimensão do projeto: o ZEC é hoje a 15ª maior criptomoeda do mundo, com valor de mercado em torno de US$ 7 bilhões, segundo a CoinGecko.

Essa privacidade toda tem um preço estrutural: se algo der errado dentro da piscina, ninguém consegue ver. Guarde essa frase — ela é o centro desta história.

O bug: uma “impressora de dinheiro” teórica

A falha descoberta era do tipo mais grave que existe em sistemas de conhecimento zero: um problema de soundness (solidez) no circuito criptográfico do Orchard. Em termos simples: o sistema poderia aceitar como válida uma prova matemática que não deveria ser válida — e isso permitiria fabricar ZEC do nada, dentro da piscina blindada, de forma indetectável.

A linha do tempo, reconstituída pela BitMEX Research e pela CoinDesk:

  • 29 de maio: o engenheiro de segurança Taylor Hornby, trabalhando para a Shielded Labs, descobre a falha durante uma auditoria do circuito do Orchard. A descoberta foi feita com ajuda do modelo de inteligência artificial Opus 4.8, da Anthropic, integrado a uma ferramenta de auditoria construída por Hornby — que chegou a gerar ZEC falsificado em ambiente de teste para provar que o ataque era real.
  • 1º–2 de junho: correção de emergência. Uma atualização desativa temporariamente as transações Orchard na rede.
  • 3 de junho: um hard fork (atualização obrigatória da rede) reativa o Orchard com o circuito corrigido. O mercado, ainda sem saber do bug, vê o ZEC subir para US$ 603.
  • 4 de junho: o ZEC atinge o pico de US$ 624. À noite, a Shielded Labs publica a revelação completa.
  • 5 de junho: o preço desaba — queda de 38% em 24 horas, chegando a ~50% abaixo do pico em 48 horas.

Repare num detalhe importante da sequência: a correção veio antes da revelação. Esse é o protocolo padrão de segurança (corrigir em silêncio para que ninguém explore a falha no intervalo), mas significa que o mercado comprou ZEC por dois dias sem saber o que estava prestes a ser anunciado.

A pergunta sem resposta: alguém usou o bug?

Aqui está o ponto mais delicado do caso. A Shielded Labs foi honesta: “não há forma definitiva de determinar, usando apenas criptografia, se a exploração ocorreu”. A mesma privacidade que protege os usuários impede de verificar o que aconteceu dentro da piscina blindada nesses quatro anos.

Há, porém, sinais tranquilizadores:

  • O Zcash tem um mecanismo chamado turnstile (“catraca”), que contabiliza o valor que entra e sai de cada piscina blindada. Segundo a BitMEX Research, a catraca segue equilibrada — nenhum ZEC falsificado saiu da piscina para o mercado até aqui.
  • A Shielded Labs considera a exploração improvável: a falha escapou de anos de escrutínio de especialistas, o que sugere que ninguém a conhecia.

Mas “improvável” não é “impossível” — e foi exatamente essa nuance que pesou no mercado. Arthur Hayes, cofundador da BitMEX e o investidor mais associado à tese das moedas de privacidade (ZEC era a segunda maior posição do seu fundo familiar), vendeu tudo no dia 4 de junho. A justificativa dele resume o problema: narrativas de privacidade exigem “perfeição, não ‘provavelmente está tudo bem’”.

A parte notável: foi uma IA que encontrou

Vale parar um parágrafo no método da descoberta. O bug sobreviveu a múltiplas auditorias humanas desde 2022 — e foi encontrado quando um engenheiro apontou um modelo de IA, com instruções específicas, para o circuito criptográfico. É um dos primeiros casos de grande repercussão em que uma falha crítica em produção, em um protocolo bilionário, foi achada com auxílio direto de inteligência artificial.

A leitura tem dois lados, e os dois são verdadeiros: ferramentas de IA estão se tornando capazes de auditar sistemas complexos melhor que revisões humanas em alguns contextos — e as mesmas ferramentas, em outras mãos, podem procurar falhas para explorá-las. A corrida entre os dois usos está apenas começando.

Onde o preço está agora

Nesta quarta-feira, 11 de junho, o ZEC negocia na faixa de US$ 415–420, segundo a CoinGecko — uma recuperação de mais de 60% desde a mínima perto de US$ 252, impulsionada pela finalização do upgrade Ironwood, que cria uma nova piscina blindada desenhada para garantir que a oferta total de ZEC permaneça verificável. Ainda assim, o preço segue cerca de 30% abaixo do nível pré-revelação.

Para contexto: mesmo após o tombo, o ZEC acumula alta superior a 500% nos últimos 12 meses.

Por que isso importa para quem está no Brasil ou em Portugal

  • É uma aula sobre risco de protocolo. A maioria dos investidores avalia cripto por preço e narrativa; este caso lembra que existe um risco mais fundo — o código. Mesmo projetos antigos, auditados e respeitados podem carregar falhas críticas invisíveis por anos.
  • Privacidade tem um custo de verificação. Moedas de privacidade oferecem algo valioso, mas a contrapartida é que nem os próprios desenvolvedores conseguem auditar completamente o que acontece dentro do sistema. É uma troca, não um defeito — mas o investidor precisa saber que ela existe.
  • A divulgação responsável funciona em dois tempos. Quem acompanhou só o preço viu o ZEC subir 11% no dia do hard fork e desabar 48 horas depois. Entender o protocolo de segurança (corrigir primeiro, revelar depois) explica o que pareceu, de fora, um movimento sem sentido.
  • Como sempre: nada aqui é recomendação de compra ou venda.

O que acompanhar daqui para a frente

  • A catraca do Orchard: se algum dia sair mais valor da piscina antiga do que entrou, será o sinal de que a falha foi explorada. Até agora, não há indício disso.
  • O upgrade Ironwood e a migração para a nova piscina blindada com oferta verificável.
  • O efeito sobre o setor de privacidade: o caso reabriu o debate sobre auditoria de sistemas de conhecimento zero — e outras redes que usam a mesma tecnologia devem passar por revisões parecidas, possivelmente também com IA.

Resumo

O Zcash conviveu por quatro anos com uma falha crítica no Orchard, seu sistema de privacidade mais avançado, que permitiria criar ZEC falsos de forma indetectável. A falha foi descoberta em 29 de maio por um engenheiro de segurança usando o modelo de IA Opus 4.8, corrigida em silêncio até 3 de junho e revelada ao público na noite do dia 4 — derrubando o preço de US$ 624 para perto de US$ 252 no pior momento. Não há como provar se alguém explorou o bug, mas o mecanismo de contabilidade da rede segue equilibrado e a equipe considera a exploração improvável. O episódio custou ao ZEC a confiança de investidores como Arthur Hayes, e deixou duas lições que valem mais que o preço: risco de código existe mesmo onde ninguém vê, e a inteligência artificial acaba de entrar — pelos dois lados — no jogo da segurança cripto.

Fontes