Inicio Actualidad Hallan increíble vulnerabilidad en Zcash

Hallan increíble vulnerabilidad en Zcash

El 1 de marzo del año 2018, Ariel Gabizon estaba organizando una presentación que estaba preparando para entregar al día siguiente en una conferencia de criptografía financiera en la isla caribeña de Curazao cuando descubrió un error matemático aparentemente pequeño que, según él, podía poner en peligro miles de millones de dólares en capital de Zcash.

Ariel Gabizon ingeniero de Zerocoin Electric Coin Company

Gabizon, ingeniero de Zerocoin Electric Coin Company, una cripto Startup conocida por crear la criptomoneda orientada a la privacidad, identificó un error en un trabajo académico sobre la tecnología de la criptografía, que sirvió de base para una gran cantidad de monedas virtuales, incluida la de Zcash.

El documento defectuoso describió los fundamentos matemáticos de ciertas pruebas de «zero knowledge», un avance criptográfico que permite las famosas características de privacidad de Zcash, así como las de otros proyectos de tokens digitales de privacidad.

En última instancia, un atacante podría haber explotado la vulnerabilidad para acuñar una cantidad infinita de Zcash falsificado, si así como se lee, infinito, así como cualquier otra criptomoneda que dependiera de su tecnología criptográfica publicado en este trabajo académico base, y nadie se en el cripto ecosistema de estos tokens anónimos iba a poder percatarse de lo que estos piratas informáticos pudieron haber realizado de haber encontrado la falla.

Bryce «Zooko» Wilcox, CEO y co fundador de la cripto compañía Zcash, le habló a los medios de comunicación internacional, en una conferencia por video llamada que su equipo reparó el agujero de seguridad en octubre del año pasado, aproximadamente ocho meses después de su descubrimiento inicial.

Publicidad

«No creemos que haya habido ninguna explotación de la vulnerabilidad, al menos en la cadena de bloques de Zcash”, dijo señalando que muy pocas personas conocían la criptografía lo suficientemente bien como para haberla descubierto y explotado.

Además, el equipo de Zcash no ha visto transferencias anormalmente grandes de criptomoneda Zcash que puedan sugerir una conducta nefasta, expresó el CEO de la cripto compañía.

El equipo de trabajo de  Zcash, que admitió que:

“No podemos estar absolutamente seguros de que la vulnerabilidad no fue explotada. Así que buscamos equilibrar las preocupaciones de seguridad contra el riesgo de fugas en el período previo a una divulgación coordinada el pasado martes por la mañana”.

Expresó el equipo de ZCASH.

“El equipo limitó la cantidad de personas que conocían dicha brecha de seguridad, usó las comunicaciones encriptadas y los confidentes cuidadosamente seleccionados para evitar que los intrusos, espías o piratas informáticos ilegales obtuvieran conocimiento de la vulnerabilidad, que podrían haber explotado para su beneficio personal”.

dijo Wilcox.

Si bien Zcash y un par de las otras criptomonedas más famosas han anunciado recientemente que han reparado sus códigos y cerrado definitivamente la vulnerabilidad, no todos los proyectos susceptibles a dicho error han seguido este camino.

De hecho, algunos cripto proyectos de tokens anónimos parecen ser todavía vulnerables, lo que plantea dudas sobre la forma correcta de manejar la divulgación de vulnerabilidades en la era de los ciber delitos.

Por consiguiente esta divulgación por parte de Zcash ha puesto en gran peligro a aquellas cripto compañías y a sus tokens, que quizás no se han percatado del peligro inminente del que están.

Del mismo modo, seguramente los cripto hackers se han puesto manos a la obra para tratar de descubrir una entrada a este tipo de vulnerabilidad.

Coordinando una solución:

Cuando los investigadores de Zcash descubrieron la vulnerabilidad de la falsificación, se enfrentaron a un gran dilema.

Podrían haber revelado el error de inmediato, incitar al caos y al pánico, y dejar vulnerables a una cantidad significativa de cripto proyectos y sus respectivos tokens, incluso el mismo ZEC, o como por suerte hicieron, mantenerlo en secreto y colarlo en una actualización de red planificada.

El equipo optó por este último enfoque:

Un grupo central de cuatro guardias secretos, todos con información privilegiada de Zcash, introdujo una solución en la llamada actualización de Sapling de Zcash el 28 de octubre del año pasado, sin el conocimiento de nadie más, al menos que ellos tengan conocimiento, pues no es 100 % que la vulnerabilidad no haya sido explotada.

Publicidad

Estas 4 personas fueron Gabizon, otro investigador de Zcash llamado Sean Bowe, Wilcox, y el hermano de Wilcox, Nathan, que ahora es el director de tecnología de la compañía Zcash.

La falla es similar en resultado, aunque no en la falla de código que lo genera, a otros errores que han afectado a Bitcoin, así como a proyectos menos conocidos, como Monero, otra criptomoneda enfocada en la privacidad y el anonimato.

Los expertos de la industria criptográfica se han referido a estos como «errores de inflación», porque representan el riesgo de aumentar drásticamente el suministro monetario de una criptomoneda mediante la acuñación de criptomonedas falsificadas y de manera ilimitadas e indetectables.

¿En que se basaba la vulnerabilidad de Zcash?:

En este caso, la vulnerabilidad involucraba un método defectuoso para construir los «zk SNARK», una implementación particular de pruebas de “zero knowledge”,

“Al cambiar a otro método para producir estas pruebas, el equipo pudo eliminar el código envenenado de Zcash».

Expresó el CEO de la critpto compañía.

Algunos otros cripto proyectos que implementaron una popular biblioteca de códigos criptográficos relacionados, llamada “libsnark”, un conjunto de herramientas favorecido y bien visto por otras cripto compañías como Ethereum y otros, no se vieron afectados” expresó el CEO de Zcash.

“La vulnerabilidad no expuso los datos privados de nadie”, dijo Wilcox. Además, no afectó el trabajo realizado por algunos colaboradores, como el equipo de JP Morgan Chase, que se había asociado con la compañía Zcash en tecnología de privacidad, dijo.

El 13 de noviembre del año 2018, un par de semanas después de implementar la solución, los investigadores de Zcash alertaron secretamente a los contactos de seguridad en otros dos proyectos afectados por la misma vulnerabilidad.

Estos cripto proyectos fueron Komodo, cuyos tokens de KMD ascienden hoy a más 72 millones de $ en valor total de mercado, y Horizen, anteriormente conocida como ZenCash, cuya cantidad de tokens ZEN es de aproximadamente 22 millones de $.

Publicidad

“Nos gustaría agradecer al equipo de Zcash por revelar sus inquietudes técnicas y por el trabajo de coordinación vemos esto como un importante signo de madurez para toda la industria” .

Dijo Maurizio Binello, miembro del equipo de Horizen, y señaló que una actualización de software realizada de su red de cadenas de bloques el 18 de enero de este año resolvió el problema permanentemente.

Desde entonces, los tres grupos de proyectos han modificado su código, pero los cripto proyectos más pequeños, que quizás no tengan el dinero, el tiempo, o el interés en hacerlo, siguen siendo vulnerables a partir de las declaraciones de Zcash, que incluye, aparentemente, Bitcoin Private, cuyas monedas virtuales tienen un valor de mercado total de 18 millones de $.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

- Publicidad -

Most Popular

¿Qué es Taproot? La revolución de la Blockchain de Bitcoin

Una de las actualizaciones que se están esperando con ansias es que Bitcoin (BTC) pueda mejorar las habilidades de “scripting capabilities”. Esta actualización es conocida...

¿Qué es y cómo comprar Nano (NANO) en 2020? Toda la información y mejores consejos

¿Qué es Nano (NANO)? NANO es una plataforma blockchain y criptomoneda que permite realizar transacciones sin coste, virtualmente...

¿Qué es y cómo comprar Solana (SOL)? Toda la información y mejores consejos

¿Qué es Solana (SOL)? Solana es un nuevo proyecto blockchain open source sin permisos y de alto rendimiento. Comparte el nombre con la empresa que...

¿Cómo comprar Polkadot (DOT)? Prepárate para el gran momento

¿Qué es Polkadot? Polkadot es otro proyecto blockchain al que vale la pena prestarle atención. Utiliza una  tecnología heterogénea multi-cadena que permite que...

¿Qué es el Internet of Things (IoT)? el Internet de las Cosas

No se puede hablar de criptomonedas sino se habla de la tecnología que la compone, la criptografía; y no se puede hablar de la...
- Publicidad -