ZachXBT advierte sobre una falla de privacidad en la integración de NEAR Intents en Zashi Wallet

El investigador de blockchain ZachXBT ha descubierto una vulnerabilidad de privacidad en la integración de la billetera Zashi con el protocolo de transacciones entre cadenas NEAR Intents. El investigadordent publicó un hilo en X el martes, afirmando que probó el sistema para encontrar "fallas de diseño que pudieran aprovecharse" durante sus investigaciones sobre actores fraudulentos.

Zashi es una billetera criptográfica de autocustodia desarrollada por Electric Coin Co., el equipo detrás de Zcash (ZEC), una criptomoneda orientada a la privacidad lanzada en 2016. La billetera permite a los usuarios enviar, recibir y gastar ZEC mientras mantienen su actividad financiera oculta de intermediarios, corporaciones o vigilancia gubernamental.

ZachXBT escribió sobre cómo probó la integración de Zashi con NEAR Intents debido al "revuelo reciente", preguntándose si mantenía el mismo nivel de anonimato que Zcash esperan de las transacciones protegidas.

El investigador identuna falla de privacidad al trasladar SOL a Zcash

En su experimento, ZachXBT conectó 1 SOL de Solana a Zcash mediante NEAR Intents a la billetera Zashi. Luego, protegió los fondos por privacidad tras confirmar las transacciones de origen y destino. 

Luego, el detective de seguridad de blockchain utilizó la función “CrossPay” de Zashi, que permite a los usuarios gastar ZEC protegido y enviar un valor equivalente en otra criptomoneda, para financiar una dirección Ethereum con 0,005 ETH.

3/ Ahora digamos que quiero financiar anónimamente una dirección ETH desde mi billetera Zashi con mi ZEC protegido, así que uso la función "Crosspay" a través de Near Intents para recibir 0.005 ETH en la siguiente dirección:

0x6dda3649f19191a9df465f4010019f2f59c34bc4 pic.twitter.com/5cMDG83MN9

— ZachXBT (@zachxbt) 21 de octubre de 2025

Si bien la transferencia principal se completó después de varios minutos, ZachXBT descubrió una transacción de reembolso inesperada de 0,001598 ZEC enviada a la misma dirección transparente desde la que originalmente había protegido los fondos. 

Según el conocido investigador de seguridad criptográfica, el reembolsomatic creó un vínculo visible entre sus direcciones protegidas y no protegidas, socavando la privacidad que el sistema protegido de Zcashpretende proteger.

La transacción de reembolso se pudo tracpúblicamente en la cadena de bloques Zcash y podría haber permitido a cualquiera hacer coincidir el tiempo y los montos entre el sistema NEAR Intents y el reembolso en sí. 

“Alguien puede simplemente hacer coincidir los tiempos/cantidades de la dirección Near Intents edentlas transacciones de reembolso de ZEC, lo que le permite a alguien desanonimizar su dirección t de la que inicialmente protegió a ZEC, ya que es estática y los reembolsos no están protegidos”, supuso ZachXBT.

Zashi Wallet promete actualizaciones para resolver el problema trac

El investigador de seguridad de Web3 reveló que la falla se debía a la forma en que NEAR Intents gestiona los reembolsos de las transacciones entre cadenas. En su ejemplo, la dirección Zcash de Near Intents utilizada era pública, lo que significa que las transacciones de reembolso se procesaban de forma transparente en lugar de dentro del pool protegido de Zcash. 

Dado que la integración de Zashi reutiliza la misma dirección transparente para los reembolsos, el vínculo se vuelve obvio para los analistas en cadena.

Despuésdentla falla, ZachXBT dijo que contactó al equipo de desarrollo de Zashi, quienes reconocieron el problema y confirmaron los planes para introducir direcciones efímeras. 

Estas direcciones de billetera temporales desaparecerán después de cada transacción para reducir tractrazabilidad, si la actualización se implementa según lo previsto. También le informaron que se incluirán reembolsos protegidos en NEAR Intents en una futura actualización.

A pesar del fallo, ZachXBT describió a Zashi como una "enjpara la privacidad", señalando que soluciona varios problemas de interfaz de usuario y experiencia que había encontrado con Monero, otra criptomoneda centrada en la privacidad. 

"Estoy considerando ofrecer un servicio para traders individuales o fondos boutique que buscan anonimizar su actividad", dijo, y agregó que las partes interesadas podrían contactarlo directamente para una colaboración.

Cuando un seguidor le dijo que su idea es similar a la de los consultores de ciberseguridad que son contratados para violar sistemas seguros paradentdebilidades, ZachXBT estuvo de acuerdo. 

El volumen histórico del protocolo NEAR Intents alcanza los 2 mil millones de dólares

NEAR Intents está experimentando un aumento en la actividad de los usuarios y el volumen de transacciones que ya ha superado los 2 mil millones de dólares, según datos de Dune Analytics. 

El volumen diario de blockchain por mes en el sistema basado en intenciones ha aumentado un 379%, y el número de usuarios ha superado los 457.000 desde el 21 de septiembre. 

NEAR Intents es un protocolo de transacciones multicadena que automatiza las acciones entre cadenas mediante un mecanismo basado en intenciones. En lugar de conectar o intercambiar tokens manualmente, los usuarios o agentes de IA que actúan en su nombre transmiten el resultado deseado, como intercambiar un token por otro.

En las últimas 24 horas, los usuarios han realizado transacciones de tokens por valor de 65 millones de dólares, de los cuales ZEC representa el 10 % del total. La billetera actualmente admite dos funciones activas: Zashi Swaps y CrossPay, que se lanzaron a principios de este mes.