Se ha corregido una vulnerabilidad de Zcash que ponía en riesgo millones de dólares en ZEC

En resumen

• Un investigador de seguridad descubrió una vulnerabilidad crítica en los nodos de Zcash que eludía la verificación de pruebas para el grupo blindado obsoleto Sprout.
• Los principales pools de minería desplegaron el parche en tres días, y los desarrolladores de Zcash lanzaron la v6.12.0 el martes.
• El mecanismo de “torniquete” de Zcash habría evitado una inflación de la oferta más amplia incluso si el pool hubiera sido comprometido.

Un investigador de seguridad descubrió una vulnerabilidad crítica en los nodos de Zcash que podría haber permitido a mineros maliciosos drenar más de 25,000 ZEC del pool blindado obsoleto Sprout de la red, una suma que equivale a aproximadamente $6.5 millones al momento de redactar.

Alex “Scalar” Sol divulgó la falla el 23 de marzo, según un informe de divulgación publicado el martes, revelando que los nodos zcashd estaban omitiendo la verificación de pruebas para transacciones que involucran el pool heredado Sprout. El fallo no fue explotado y los fondos de todos los usuarios siguen a salvo, según la divulgación.

La vulnerabilidad abarcó versiones desde julio de 2020 hasta la actualidad, y los desarrolladores de Zcash lanzaron la v6.12.0 el martes para contener la corrección. Los principales pools de minería se movieron rápidamente para parchear sus sistemas: el pool de minería Luxor confirmó el despliegue el 25 de marzo, mientras que F2Pool, ViaBTC y AntPool desplegaron el parche antes del 26 de marzo, según el mismo informe.



La implementación del nodo completo Zebra no se vio afectada por la vulnerabilidad, dijo el informe, y habría activado un fork de la cadena si se hubiera intentado la explotación, proporcionando una capa adicional de protección de la red.

Sol, que descubrió la vulnerabilidad con ayuda de la IA, la informó a Shielded Labs el 23 de marzo. La organización coordinó con el Zcash Open Development Lab (ZODL), cuyo ingeniero Jack “str4d” Grigg escribió el parche.

Por su divulgación, Sol recibirá una recompensa total de 200 ZEC—valorada en más de $51,000—con Shielded Labs, ZODL, la Zcash Foundation y Bootstrap aportando cada uno 50 ZEC.

El pool Sprout se cerró a nuevos depósitos en noviembre de 2020, por lo que es un componente obsoleto pero aún activo que mantiene aproximadamente 25,424 ZEC que los usuarios todavía no han migrado a versiones más nuevas de pools blindados.

Aunque la vulnerabilidad podría haber permitido drenar estos fondos, el Zcash Open Development Team (ZODL) dijo que el mecanismo de “torniquete” de Zcash habría evitado una inflación más amplia de la oferta. El torniquete exige que cualquier moneda que salga del pool Sprout haya entrado en él de forma verificable, creando una salvaguarda contra la creación de nuevos tokens más allá de la circulación total de la red de alrededor de 16.63 millones de ZEC.

Esto no es la primera gran vulnerabilidad a la que se ha enfrentado la red. A finales de 2019, la red corrigió un fallo descrito como un generador cripto de “falsificación infinita”, aunque se corrigió antes de convertirse en un problema importante para la red de monedas de privacidad.

Zcash es el mayor beneficiario en las últimas 24 horas entre las 100 principales monedas por capitalización de mercado, según datos de CoinGecko, subiendo más de 14% hasta un precio reciente por encima de $255. El precio de la moneda de privacidad se disparó el otoño pasado desde un precio de aproximadamente $50 hasta un máximo de varios años cerca de $700, pero ha caído junto con Bitcoin y otras criptomonedas en los últimos meses.

Newsletter diaria de recapitulación

Comienza cada día con las principales historias de actualidad ahora mismo, además de funciones originales, un podcast, videos y más.

Tu correo electrónico

¡Consíguelo!

¡Consíguelo!