Zcash ha corregido una vulnerabilidad importante que habría permitido a actores maliciosos drenar fondos del grupo protegido Sprout, ahora obsoleto, del protocolo.

Resumen

• Zcash corrigió una falla crítica en los nodos zcashd que omitía la verificación de pruebas en el grupo legado Sprout; un error que podría haber expuesto a más de 25,000 ZEC a un posible drenaje.
• La vulnerabilidad permaneció presente desde julio de 2020 hasta el lanzamiento de la v6.12.0, sin detectarse explotación y con todos los fondos de los usuarios confirmados como seguros.

Un informe de divulgación del investigador de seguridad Alex “Scalar” Sol, publicado el martes, afirma que se descubrió una falla crítica en los nodos zcashd que provocó el salto de la verificación de pruebas para transacciones que involucran el grupo protegido legado Sprout.

No se perdieron fondos de usuarios

El grupo Sprout de Zcash es el “grupo protegido” original que se lanzó con la red en 2016. Fue la primera implementación de pruebas de conocimiento cero (zk-SNARKs) en una criptomoneda de producción, lo que permite a los usuarios enviar y recibir ZEC de forma privada.

Aunque el grupo se cerró a nuevos depósitos en noviembre de 2020, todavía mantiene aproximadamente 25,424 ZEC, que aún no se han migrado a versiones más nuevas del grupo protegido.

Según la divulgación, la vulnerabilidad abarcó versiones desde julio de 2020 en adelante, pero se corrigió mediante la v6.12.0, que se lanzó el martes. Hasta ahora, la falla no ha sido explotada y los fondos de los usuarios permanecen seguros.

Los principales grupos mineros, incluidos Luxor, F2Pool, ViaBTC y AntPool, ya han implementado la corrección para el 26 de marzo, añadió el informe.

El informe agregó que la implementación del nodo completo Zebra no se vio afectada. En caso de un intento de explotación, habría provocado una bifurcación de la cadena, actuando como salvaguarda adicional.

A pesar de la gravedad del problema, el Zcash Open Development Team ha aclarado que el mecanismo de “torniquete” (turnstile) de la red, que exige que cualquier moneda que salga del grupo Sprout haya entrado previamente en él, habría evitado una inflación de suministro más amplia.

Para la red Zcash, esto marca la segunda vez que se descubre una vulnerabilidad crítica y sistémica dentro de sus grupos protegidos. En 2019, el equipo de Zcash divulgó un bug de “falsificación” (counterfeiting): una falla en la criptografía subyacente que podría haber permitido a un atacante crear una cantidad infinita de ZEC sin ser detectado.