Noticias ZCash 

ZCash publica vulnerabilidad que permitiría creación infinita de criptomonedas falsas


La información se manejó con extremo cuidado para evitar generar caos e incertidumbre entre los miembros de la comunidad. Sin embargo, dicha vulnerabilidad no fue debidamente informada a todos los proyectos que operan bajo el mismo protocolo de ZCash.

***

Bryce Wilcox, CEO y fundador de ZCash, anunció el día de hoy que el equipo de desarrollo de la red reparó una brecha de seguridad muy importante, a través de la cual atacantes podrían haber producido cantidades infinitas de unidades de la moneda digital ZEC, así como de cualquier otra criptomoneda que utilizase el mismo protocolo.

La vulnerabilidad fue reportada por primera vez por el ingeniero de Zerocoin Electric Coin Company, Ariel Gabizon, quien descubrió esta brecha mientras preparaba contenidos para una conferencia financiera el 1 de marzo del año pasado. Para ese entonces, Gabizon descubrió un error matemático muy pequeño en el código de la red, pero que a su juicio, podía poner en peligro millones de dólares en capital.

El error estaba presente en los fundamentos matemáticos asociados con el protocolo Zero Knowledge Proof (Prueba de Conocimiento Zero), el cual permite a ZCash ser una moneda garante de la privacidad de las operaciones.

Informando sobre la vulnerabilidad

Wilcox comentó en una entrevista realizada por el portal de noticias Fortune que su equipo reparó la vulnerabilidad en octubre de 2018, casi ocho meses después que Gabizon descubriese esta brecha, e indicó:

“No creemos que nadie haya explotado esta vulnerabilidad… muy pocas personas conocían lo suficientemente bien el protocolo como para haberla descubierto y explotado. El equipo de ZCash no ha visto ningún tipo de transferencia anormal a través de la red que pudiese sugerir la copia indiscriminada de los activos”.

Sin embargo, el equipo de programadores admite que no están completamente seguros de que nadie haya explotado dicha vulnerabilidad, por lo que estaban tratando de controlar cualquier tipo de riesgo antes de hacer el anuncio oficial el día de hoy. Wilcox indicó que esta información era manejada por un número muy reducido de personas, para evitar que hackers o delincuentes informáticos tuviesen conocimiento de este fallo presente en la red.

Aunque ZCash ya corrigió los elementos vulnerables en el código, aparentemente no todos los proyectos con esta brecha implementaron cambios para proteger sus redes.

Manejo del caso

El equipo de ZCash tardó casi un año en informar a la comunidad sobre lo ocurrido porque en su momento se enfrentaron a un dilema importante. Bien pudieron informar a la comunidad sobre el error, pero esto incitaba al pánico y al caos, exponiendo a todos los proyectos a ser blanco de potenciales ataques.

Por ello decidieron mantener en secreto lo ocurrido, y trabajar activamente en soluciones para implementarlas en una actualización programada para la red, y seguir haciendo esto de presentarse otras fallas derivadas. Por ello, los cambios se introdujeron durante la instalación de Sapling, pautada para el día 28 de octubre de 2018.

Wilcox aseguró que la falla pudo tener resultados similares a otros errores que afectaron a Bitcoin o a proyectos como Monero, pero que la solución implementada consistió en un cambio de método para llevar a cabo Zero Knowledge Proof, con lo cual se eliminó el código defectuoso que ponía en peligro la operatividad de la red.

El CEO dejó claro que la vulnerabilidad no comprometía en ningún momento los datos privados de nadie, y que tampoco afectaba el trabajo realizado por algunos colaboradores, como por ejemplo el equipo de JPMorgan Chase, quienes estaban desarrollando soluciones en el ámbito de la privacidad con la tecnología de ZCash.

Semanas después de hacer las correcciones respectivas, el equipo de ZCash alertó a otros proyectos sobre la vulnerabilidad: Komodo y Horizen, los cuales capitalizaban USD $72 millones y USD $22 millones respectivamente. Sin embargo, los proyectos más pequeños aún no tenían conocimiento de estas brechas presentes en sus códigos principales.

¿Perjudicando a la competencia?

Sin embargo, dejar sin conocimiento a otros proyectos sobre las vulnerabilidades vistas en el código, genera dudas sobre la postura de ZCash en relación a los proyectos que compiten directamente en contra de su propuesta.

Uno de los proyectos que no tuvo conocimiento de lo ocurrido de forma oportuna fue Bitcoin Private, una iniciativa derivada de ZCash para crear una criptomoneda rival centrada en la privacidad de las operaciones.

Sean Bowe, investigador de ZCash que también descubrió la brecha junto a Gabizon, informó durante una entrevista que los directivos de la compañía “no encontraba una forma de comunicar esto a la comunidad de forma responsable, por lo que decidieron tomar un período de 90 días para evaluar las acciones y allí notificar a otros proyectos.

Al preguntar a Wilcox por qué no participó lo ocurrido a los representantes de Bitcoin Private, el CEO aludió a sus preocupaciones en torno al manejo de la información:

“No queríamos revelar esto a más personas hasta que la mayoría de las criptomonedas en circulación estuviesen protegidas”.

Fuente: Fortune

Versión de Angel Di Matteo / DiarioBitcoin

Advertisements

Related posts