Zcash evalúa crear un nuevo pool protegido tras una vulnerabilidad que permitía falsificar ZEC

Desarrolladores e investigadores de Zcash están considerando implementar un nuevo pool protegido para restaurar la confianza en la verificación del suministro, luego de que una vulnerabilidad en el pool Orchard, recientemente parcheada, permitiera la creación de ZEC falsificados. La organización independiente Shielded Labs propuso una actualización de red que incluiría una nueva pool y un sistema de «contabilidad de torniquete». Tras la divulgación pública del fallo, el precio de ZEC cayó aproximadamente un 50%, desde un máximo de 550,30 dólares hasta un mínimo de 264,80 dólares, para luego recuperarse ligeramente a 308,07 dólares al momento de la publicación.

Shielded Labs propone un nuevo pool protegido y «contabilidad de torniquete»

Shielded Labs, organización suiza independiente de apoyo a Zcash, publicó una actualización de seguridad el viernes en la que explora una actualización de red que desplegaría un nuevo pool protegido. La propuesta incluye la implementación de una «contabilidad de torniquete» (turnstile accounting) para las monedas que se mueven desde Orchard, con el objetivo de proporcionar a los usuarios una forma más clara de verificar la integridad de los fondos que salen del pool, restaurando así la confianza en la verificación del suministro.

La propuesta está sujeta a mayor explicación y revisión por parte de la comunidad. Shielded Labs planea publicar un artículo de seguimiento la próxima semana detallando el funcionamiento de la actualización y los posibles contrapartidas (tradeoffs).

Josh Swihart, fundador de Zcash Open Development Lab (ZODL), dijo en una publicación en X que una segunda pool Orchard podría dirigirse, en principio, a la actualización NU7 de Zcash a finales de julio. No obstante, Swihart aclaró que no toma una posición fija sobre si la comunidad debería construir una segunda pool Orchard.

La vulnerabilidad Orchard: un fallo que pudo permitir la falsificación ilimitada de ZEC

Según Shielded Labs, la vulnerabilidad en Orchard podría haber permitido a un actor malintencionado crear una cantidad ilimitada de ZEC falsificado dentro del pool Orchard. El equipo no tiene una forma criptográfica de demostrar si el fallo fue explotado antes de ser corregido, aunque creen que su explotación previa es poco probable.

Como informó Cointelegraph el miércoles, los desarrolladores de Zcash suspendieron temporalmente las transacciones Orchard tras descubrir la vulnerabilidad. La funcionalidad se restauró mediante una actualización de emergencia de la red.

El viernes, tras la divulgación pública de la vulnerabilidad, ZEC cayó aproximadamente un 50% desde un máximo diario de 550,30 dólares hasta un mínimo de 264,80 dólares, según datos de CoinGecko. Al momento de la redacción, el token se había recuperado a 308,07 dólares, aún muy por debajo de su máximo del viernes.

Justin Bons, fundador y CIO de CyberCapital, dijo que el mercado estaba reaccionando de forma exagerada porque el error ya había sido corregido y «los buenos lo atraparon primero». Cameron Winklevoss, cofundador de Gemini, dijo que el descubrimiento refleja la inversión de Zcash en investigadores de seguridad, no una razón para alarmarse. Argumentó que los errores son inevitables en redes de capa 1 y que la clave es si los equipos pueden encontrarlos y solucionarlos antes que los atacantes.

La verificación formal entra en el debate de seguridad tras el incidente Orchard

La verificación formal, un método que utiliza pruebas matemáticas para verificar si un software o circuito criptográfico sigue las especificaciones previstas, ha cobrado protagonismo en el debate posterior al incidente.

Sean Bowe, desarrollador de Zcash e investigador en criptografía, señaló que los protocolos protegidos proporcionan privacidad basándose en supuestos criptográficos para preservar la integridad del suministro. Afirmó que la respuesta a largo plazo es hacer que los protocolos protegidos y sus implementaciones sean formalmente verificables.

Josh Swihart, de ZODL, coincidió con esta visión, diciendo que la vulnerabilidad de Orchard fue un fallo en las reglas escritas a mano del circuito, no en la criptografía subyacente. Añadió que la verificación formal podría reducir la revisión humana a una especificación concisa y permitir que las computadoras verifiquen si el circuito coincide con esas reglas.

Wei Dai, socio de investigación en la firma de capital riesgo blockchain 1kx, dijo en X que el error del circuito Orchard parecía «obvio en retrospectiva», pero había sido pasado por alto por diseñadores de protocolos, criptógrafos y auditores diligentes. Afirmó que expandir la cobertura de verificación formal es «probablemente la única solución a largo plazo».