Zcash corrige una vulnerabilidad crítica que amenazaba la seguridad de más de 25,000 monedas ZEC, con un valor aproximado de 6.5 millones de dólares

Mensaje de Mars Finance: el monedero de privacidad Zcash recientemente divulgó y corrigió una vulnerabilidad de seguridad clave, que podría ser explotada por mineros maliciosos. Se transfirieron más de 25,000 ZEC (aproximadamente 6.5 millones de dólares) desde el ya descontinuado pool de privacidad Sprout.

El investigador de seguridad Alex “Scalar” Sol divulgó el 23 de marzo que la vulnerabilidad se originó porque el nodo zcashd omitió la verificación de la prueba al procesar transacciones que involucran el pool Sprout. La parte oficial señaló que la vulnerabilidad ha estado presente desde julio de 2020, pero no se ha explotado en la práctica, y los fondos de los usuarios permanecieron siempre seguros.

El equipo de desarrollo ha publicado la versión v6.12.0 para completar la corrección, y los principales pools de minería completaron la actualización y el despliegue en cuestión de días. Además, las implementaciones de nodos completos de Zebra que no se vieron afectadas cuentan con la capacidad de disparar bifurcaciones de cadena, lo que puede proporcionar protección adicional cuando se explota la vulnerabilidad.

Según lo divulgado, aunque el pool Sprout cerró los nuevos depósitos en noviembre de 2020, todavía quedan aproximadamente 25,424 ZEC que no se han migrado. Incluso si se explota la vulnerabilidad, el mecanismo “turnstile” de Zcash puede evitar la emisión inflacionaria adicional, asegurando que no se supere el suministro total.

Esta vulnerabilidad fue detectada con asistencia de IA, y el investigador recibirá una recompensa total de 200 ZEC (aproximadamente 51,000 dólares). Cabe destacar que esta no es la primera vez que Zcash se enfrenta a una vulnerabilidad importante: ya en 2019, había corregido un defecto grave que podía provocar emisión infinita.