Quantstamp ha publicado un análisis técnico post-mortem sobre el fallo de Zcash que permitió que un error de falsificación permaneciera en el pool de privacidad Orchard durante unos cuatro años antes de ser corregido este mes. La firma de seguridad dijo que el problema podría haber permitido a un atacante acuñar ZEC blindados que serían difíciles, si no imposibles, de detectar a través del monitoreo normal de transacciones.
El error es importante porque Orchard es el principal pool blindado de Zcash, donde los usuarios mueven monedas a un saldo privado que oculta los detalles de las transacciones de la vista pública. Si se pueden crear monedas allí sin ser detectadas, la credibilidad del sistema de privacidad se ve afectada, incluso si el problema ya ha sido solucionado. Para un activo de privacidad como ZEC, esto no es una pequeña nota técnica al pie. Afecta a la confianza en el propio libro mayor.
El análisis de Quantstamp describe cómo el fallo pasó desapercibido en múltiples auditorías, un recordatorio de que incluso el código de criptoactivos muy revisado puede ocultar casos extremos de larga duración. La firma no dijo que el error fuera explotado activamente a gran escala, pero la existencia de una vía para la acuñación indetectable es suficiente para plantear preguntas sobre la actividad blindada anterior y sobre los límites de la detección a posteriori en sistemas privados.
Los desarrolladores de Zcash solucionaron el problema a principios de este mes, según el material de origen, pero la divulgación aún resulta incómoda para los tenedores. Las noticias de seguridad sobre monedas de privacidad pueden afectar rápidamente el sentimiento, especialmente cuando la vulnerabilidad afecta al lado de la oferta en lugar de un simple error de billetera o interfaz. A los traders les suele importar menos la ruta del código en sí y más la posibilidad de una inflación oculta, incluso si ese riesgo ya está cerrado.
Los próximos elementos a observar son el seguimiento formal del proyecto, cualquier informe adicional sobre si los saldos blindados se vieron afectados y si los exchanges o custodios cambian la forma en que manejan los depósitos y retiros de ZEC. Si la comunidad concluye que el problema fue contenido antes de un abuso generalizado, el mercado podría seguir adelante. Si nuevas pruebas muestran que el fallo fue utilizado o que más rincones del pool blindado necesitan revisión, ZEC podría permanecer bajo presión.
El pool de privacidad de Zcash tuvo un fallo de falsificación oculto
Un fallo oculto en el sistema de saldos privados de Zcash permitió la creación de monedas falsificadas sin ser detectadas, lo que afectó la confianza de los usuarios en la privacidad de las transacciones. El error fue corregido este mes, pero plantea preocupaciones sobre monedas falsas no detectadas en el pasado y la seguridad de las funciones de privacidad.