Shielded Labs ha revelado que el investigador de seguridad Hornby desarrolló una herramienta de explotación completamente funcional capaz de producir ZEC falsos ilimitados y casi indetectables dentro de un entorno de prueba local. Según Shielded Labs, si la misma herramienta se hubiera utilizado en la red principal de Zcash, un atacante podría teóricamente haber generado un suministro ilimitado de ZEC falsos en su propia cartera.
Alcance de la vulnerabilidad y respuesta inicial
Fuentes de la compañía dijeron que este escenario podría haber puesto una gran tensión en la confianza en el suministro de ZEC. La inflación no detectada en el conteo de tokens en circulación también habría dañado directamente la percepción del mercado sobre el valor de ZEC.
Después de descubrir el fallo, Hornby notificó inmediatamente al Laboratorio de Desarrollo Abierto de Zcash (ZODL). El 1 de junio, ZODL coordinó una solución de emergencia, cerrando la vulnerabilidad en unos pocos días. Zcash es conocida por su red de criptomonedas centrada en la privacidad, donde ZEC sirve como el activo principal.
Shielded Labs señaló que creen que Hornby probablemente identificó la vulnerabilidad antes de que cualquier parte maliciosa pudiera explotarla.
Debate sobre el tiempo que existió el fallo
Sin embargo, solucionar la vulnerabilidad no resultó en un aumento notable en el sentimiento del mercado. La razón principal: el fallo había existido sin ser detectado desde que la actualización Orchard se puso en marcha en mayo de 2022. En otras palabras, el problema persistió en el sistema durante bastante tiempo antes de ser descubierto.
Shielded Labs también admitió que no podían confirmar definitivamente si el exploit había sido utilizado antes de la reparación. Esta incertidumbre introdujo un riesgo adicional para los inversores que son especialmente sensibles a cuestiones sobre la integridad del suministro.
Glosario: Orchard se refiere al sistema de transacciones blindadas más reciente de Zcash. El “pool blindado” es un grupo de activos centrado en la privacidad que oculta información del remitente, receptor y cantidad de la transacción.
| Título | Detalles del artículo |
|---|---|
| Cuándo entró el fallo en el sistema | Mayo de 2022, con la actualización Orchard |
| Fijación coordinada | 1 de junio, coordinada por ZODL |
| Impacto potencial | Producción de ZEC falsos ilimitados y difíciles de detectar |
| Estado del exploit | No hay incidentes confirmados |
Plan de verificación y futuros pasos de seguridad
A pesar del descubrimiento, la organización argumentó que es poco probable que el fallo se haya explotado en la práctica. Su razonamiento fue que el error pasó desapercibido durante años a pesar de la revisión rutinaria por parte de criptógrafos expertos, y solo se descubrió mediante esfuerzos dirigidos utilizando herramientas avanzadas de IA y investigadores altamente calificados. También destacaron el rápido proceso de parcheo tras el descubrimiento.
La empresa sugirió que los usuarios no deberían depender únicamente de las garantías internas, por lo que proponen una actualización de red que permitirá la verificación independiente de la integridad del suministro de ZEC.
El plan incluye el lanzamiento de un nuevo pool blindado y la introducción de la contabilidad de peaje para todas las monedas que salgan del pool Orchard. Shielded Labs declaró que pueden publicar documentación técnica detallada sobre este tema la próxima semana.
La organización también anunció que continuará colaborando con Hornby, acelerará el proyecto de verificación formal destinado a demostrar matemáticamente que no hay errores no descubiertos en el circuito Orchard, y comenzará a contratar a un nuevo líder de seguridad y criptógrafo.
