Zcash cierra grave vulnerabilidad en antigua pool de privacidad con 25.000 ZEC

Zcash (ZEC) ha corregido una grave vulnerabilidad que podría haber sido explotada para extraer fondos de una parte obsoleta de la red. El problema residía en la llamada Sprout-pool, una antigua función de privacidad donde aún se almacenan aproximadamente 25.424 ZEC.

La vulnerabilidad existía desde 2020

La vulnerabilidad fue descubierta por el investigador de seguridad Alex «Scalar» Sol y fue revelada públicamente el martes. Ciertos nodos antiguos de zcashd omitían un control crucial en las transacciones, lo que significaba que la prueba criptográfica que normalmente confirma la validez de las transacciones no siempre era verificada.

El error estaba presente desde julio de 2020 en varias versiones de software. Esto significa que la falla pasó casi seis años sin ser detectada en el sistema. El problema ya ha sido resuelto con la introducción de la versión 6.12.0 de zcashd.

Según el equipo de Zcash, no hay indicios de que la vulnerabilidad haya sido explotada. Todos los fondos de los usuarios han permanecido seguros.

¿Qué es la Sprout-pool?

La Sprout-pool fue lanzada en 2016 y utilizó pruebas de conocimiento cero, una tecnología que permite a los usuarios realizar transacciones completamente privadas sin que los detalles sean visibles en la blockchain. Desde noviembre de 2020, la pool está cerrada para nuevos depósitos, pero los ZEC restantes aún deben ser migrados a sistemas más modernos.

Respuesta rápida de los pools de minería

Grandes pools de minería, incluyendo Luxor, F2Pool, ViaBTC y AntPool, implementaron la actualización ya el 26 de marzo. Esto indica una respuesta rápida y coordinada dentro de la red.

No todos los sistemas resultaron vulnerables. El software alternativo de nodo completo Zebra no fue afectado. En caso de abuso, probablemente habría llevado a una división de la blockchain, lo que habría funcionado como una capa de seguridad adicional.