A Quantstamp publicou uma análise técnica póstuma sobre a falha da Zcash que permitiu que um bug de falsificação permanecesse no pool de privacidade Orchard por cerca de quatro anos antes de ser corrigido este mês. A empresa de segurança disse que o problema poderia ter permitido a um invasor cunhar ZEC blindados que seriam difíceis, se não impossíveis, de detectar através do monitoramento normal de transações.
O bug é importante porque o Orchard é o principal pool blindado da Zcash, onde os usuários movem moedas para um saldo privado que oculta os detalhes das transações da vista do público. Se moedas podem ser criadas lá sem serem notadas, a credibilidade do sistema de privacidade é abalada, mesmo que o problema já tenha sido corrigido. Para um ativo de privacidade como o ZEC, isso não é uma pequena nota técnica de rodapé. Afeta a confiança no próprio livro-razão.
A análise da Quantstamp descreve como a falha passou despercebida por várias auditorias, um lembrete de que mesmo o código de criptoativos amplamente revisado pode esconder casos extremos de longa data. A empresa não disse que o bug foi explorado ativamente em grande escala, mas a existência de um caminho para a cunhagem indetectável é suficiente para levantar questões sobre a atividade blindada anterior e sobre os limites da detecção a posteriori em sistemas privados.
Os desenvolvedores da Zcash corrigiram o problema no início deste mês, de acordo com o material de origem, mas a divulgação ainda é inconveniente para os detentores. Notícias de segurança sobre moedas de privacidade podem pesar rapidamente no sentimento, especialmente quando a vulnerabilidade afeta o lado da oferta, em vez de um simples bug de carteira ou interface. Os traders tendem a se importar menos com o caminho do código em si e mais com a possibilidade de inflação oculta, mesmo que esse risco agora esteja encerrado.
Os próximos itens a serem observados são o acompanhamento formal do projeto, qualquer apuração adicional sobre se os saldos blindados foram afetados e se as exchanges ou custodiantes mudarão a forma como lidam com depósitos e saques de ZEC. Se a comunidade concluir que o problema foi contido antes de um abuso generalizado, o mercado pode seguir em frente. Se novas evidências mostrarem que a falha foi usada ou que mais cantos do pool blindado precisam de revisão, o ZEC pode permanecer sob pressão.
Pool de privacidade da Zcash teve bug de falsificação por quatro anos
Uma falha oculta no sistema de saldos privados da Zcash permitiu que moedas falsificadas fossem criadas sem serem notadas, afetando a confiança dos usuários na privacidade das transações. O bug foi corrigido este mês, mas levanta preocupações sobre moedas falsas não detectadas no passado e a segurança dos recursos de privacidade.