El error crítico de Zcash podría haber permitido la criptomoneda ' Falsificación infinita'

Los desarrolladores que están detrás de la criptomoneda Zcash, que tiene en cuenta la privacidad, han descubierto recientemente y han parchado una vulnerabilidad altamente peligrosa de la manera más secreta que podría haber permitido a un atacante acuñar un número infinito de Zcash (ZEC).

Sí, infinito ... como una fuente inagotable de dinero.

Lanzado en octubre de 2016, Zcash es una criptomoneda orientada a la privacidad que dice ser más anónima que Bitcoin, ya que el remitente, el destinatario y el valor de las transacciones permanecen ocultos.

En una publicación de blog publicada hoy, Zerocoin Electric Coin Company, la empresa que está detrás de Zcash, reveló que uno de sus empleados, Ariel Gabizon, descubrió la vulnerabilidad en su código el 1 de marzo de 2018, la noche anterior a su charla en la conferencia Financial Cryptography. Hace casi un año.


Gabizon se contactó con Sean Bowe, criptógrafo de Zcash Company, inmediatamente después de descubrir la vulnerabilidad a la falsificación, como lo apodó el equipo, y el equipo decidió mantener el secreto para evitar el riesgo de que los atacantes lo exploten.

Según la compañía, solo cuatro empleados de Zcash estaban al tanto del problema antes de que se incluyera de forma encubierta en la red de Zcash el 28 de octubre de 2018.

Además, "descubrir esta vulnerabilidad habría requerido un alto nivel de sofisticación técnica y criptográfica que muy pocas personas poseen ", la compañía cree que nadie más estaba al tanto de esta falla y que no se produjo ninguna falsificación en Zcash.

Ahora, el equipo de Zcash detalló todo sobre la vulnerabilidad en su sitio oficial para informar al público más amplio, que si se explotara, habría permitido a un atacante imprimir una cantidad infinita de tokens de Zcash.

Detalles de la vulnerabilidad catastrófica de Zcash

Según el equipo, la vulnerabilidad de falsificación residía en la variante de zk-SNARK, una implementación de la criptografía de conocimiento cero que Zcash usa para cifrar y proteger las transacciones, que ha sido implementada de forma independiente por otros proyectos.

Tanto las cadenas de bloques de Komodo como Horizen (anteriormente conocida como ZenCash) sufrieron el mismo problema y, al parecer, lo solucionaron en sus plataformas después de que el equipo de Zcash lo notificara a mediados de noviembre de 2018 a través de un correo electrónico cifrado.

La vulnerabilidad fue el resultado de un "algoritmo de configuración de parámetros" que permitía "un proxeneta de trampa para eludir una comprobación de coherencia" y, por lo tanto, transformó "la prueba de una declaración en una prueba válida de una declaración diferente".

Cualquier persona con acceso a la transcripción de la ceremonia de cómputo multipartito (MPC), que se utiliza para configurar las características de privacidad de Zcash, podría haber creado pruebas falsas, otorgándoles la posibilidad de crear una cantidad ilimitada de monedas blindadas.

Aunque los desarrolladores no encontraron evidencia de falsificación en Zcash, confirmaron que la vulnerabilidad había existido durante años.

"La vulnerabilidad había existido durante años pero no fue descubierta por numerosos criptógrafos expertos, científicos, auditores externos y equipos de ingeniería de terceros que iniciaron nuevos proyectos basados ​​en el código Zcash", escribe la compañía.

Dado que Zcash es privado, incluso si alguien pudo haber falsificado Zcash en el pasado, no hay forma de averiguarlo. Sin embargo, la compañía Zcash argumentó que "estudió la cadena de bloques en busca de evidencia de explotación: un ataque podría dejar un tipo específico de huella. No encontramos tal huella".

Las correcciones para esta vulnerabilidad se implementaron en la actualización de la red de Zcash Sapling en octubre de 2018, y algunas, incluido el ex informante de la NSA Edward Snowden , aplaudieron el manejo del defecto por parte del equipo.


Share:

Related post

Comentarios

Facebook

Facebook comments:

Disqus

Disqus comments: