En Resumen
- El investigador Alex "Scalar" Sol descubrió una falla en nodos de Zcash que exponía 25.000 ZEC —$6,5M— del pool Sprout a drenado malicioso.
- Los desarrolladores lanzaron el parche v6.12.0 el martes; Luxor, F2Pool, ViaBTC y AntPool lo implementaron entre el 25 y 26 de marzo.
- Sol recibirá 200 ZEC (~$51.000) como recompensa; la falla nunca fue explotada y los fondos de usuarios permanecen seguros.
Un investigador de seguridad descubrió una vulnerabilidad crítica en los nodos de Zcash que podría haber permitido a mineros maliciosos drenar más de 25.000 ZEC del pool blindado Sprout —ya en desuso— de la red, una suma valorada en aproximadamente $6,5 millones al momento de redactar este artículo.
Alex "Scalar" Sol reveló la falla el 23 de marzo, según un informe de divulgación publicado el martes, que reveló que los nodos zcashd omitían la verificación de pruebas en transacciones que involucraban el pool Sprout heredado. El error no fue explotado y los fondos de todos los usuarios permanecen seguros, según la divulgación.
La vulnerabilidad abarcó versiones desde julio de 2020 hasta la fecha, y los desarrolladores de Zcash lanzaron la v6.12.0 el martes con la corrección correspondiente. Los principales pools de minería procedieron rápidamente a aplicar el parche en sus sistemas: Luxor confirmó su implementación el 25 de marzo, mientras que F2Pool, ViaBTC y AntPool lo desplegaron el 26 de marzo, según el mismo informe.
La implementación de nodo completo Zebra no se vio afectada por la vulnerabilidad, señaló el informe, y habría desencadenado un fork de la cadena si se hubiera intentado explotarla, lo que añadía una capa adicional de protección a la red.
Sol, quien descubrió la vulnerabilidad con ayuda de inteligencia artificial, la reportó a Shielded Labs el 23 de marzo. La organización coordinó con el Zcash Open Development Lab (ZODL), cuyo ingeniero Jack "str4d" Grigg fue el autor del parche.
Por su divulgación, Sol recibirá una recompensa total de 200 ZEC —valorada en más de $51.000—, con Shielded Labs, ZODL, la Fundación Zcash y Bootstrap contribuyendo cada uno con 50 ZEC.
El pool Sprout fue cerrado a nuevos depósitos en noviembre de 2020, lo que lo convierte en un componente obsoleto pero aún activo que alberga aproximadamente 25.424 ZEC que los usuarios aún no han migrado a versiones más recientes del pool blindado.
Si bien la vulnerabilidad podría haber permitido drenar estos fondos, el Zcash Open Development Team (ZODL) afirmó que el mecanismo "turnstile" de Zcash habría impedido una inflación más amplia de la oferta. El turnstile exige que cualquier moneda que salga del pool Sprout haya ingresado de forma verificable al mismo, lo que crea una salvaguarda contra la creación de nuevos tokens más allá de la circulación total de la red, de aproximadamente 16,63 millones de ZEC.
Esta no es la primera gran vulnerabilidad que enfrenta la red. En 2019, la red parchó un error descrito como un "generador infinito de criptomonedas falsificadas", aunque fue corregido antes de convertirse en un problema mayor para la red de la privacy coin.
Zcash es la criptomoneda con mayor alza en las últimas 24 horas entre las 100 principales por capitalización de mercado, según datos de CoinGecko, con un aumento de más del 14% hasta un precio reciente por encima de $255. El precio de la privacy coin se disparó el otoño pasado desde aproximadamente $50 hasta un máximo de varios años cercano a los $700, pero ha caído junto con Bitcoin y otras criptomonedas en los últimos meses.