Un investigador de seguridad descubrió una vulnerabilidad crítica en los nodos de Zcash que podría haber permitido a mineros maliciosos drenar más de 25.000 ZEC del pool blindado de Sprout, ya obsoleto de la red, una suma valorada en unos 6,5 millones de dólares al momento de escribir este artículo.

Alex "Scalar" Sol reveló la falla el 23 de marzo, según un informe de divulgación publicado el martes, revelando que los nodos zcashd estaban omitiendo la verificación de pruebas para las transacciones que involucraban el pool legado de Sprout. El error no fue explotado y todos los fondos de los usuarios permanecen seguros, según la divulgación.

La vulnerabilidad abarcó las versiones desde julio de 2020 hasta la actualidad, con los desarrolladores de Zcash lanzando la v6.12.0 el martes para contener la solución. Los principales pools de minería se movieron rápidamente para parchear sus sistemas: el pool de minería Luxor confirmó su implementación el 25 de marzo, mientras que F2Pool, ViaBTC y AntPool implementaron la solución antes del 26 de marzo, según el mismo informe.

La implementación del nodo completo Zebra no se vio afectada por la vulnerabilidad, según el informe, y habría provocado una bifurcación de la cadena si se hubiera intentado la explotación, proporcionando una capa adicional de protección de la red.

Sol, quien descubrió la vulnerabilidad con la ayuda de la IA, la reportó a Shielded Labs el 23 de marzo. La organización coordinó con el Zcash Open Development Lab (ZODL), cuyo ingeniero Jack "str4d" Grigg fue el autor del parche.

Por su divulgación, Sol recibirá una recompensa total de 200 ZEC —valorada en más de 51.000 dólares—, con Shielded Labs, ZODL, la Zcash Foundation y Bootstrap contribuyendo con 50 ZEC cada uno.

El pool de Sprout fue cerrado a nuevos depósitos en noviembre de 2020, lo que lo convierte en un componente obsoleto pero aún activo, que contiene aproximadamente 25.424 ZEC que los usuarios aún no han migrado a versiones más nuevas de pools blindados.

Si bien la vulnerabilidad podría haber permitido el drenaje de estos fondos, el equipo de desarrollo abierto de Zcash (ZODL) afirmó que el mecanismo de "torniquete" de Zcash habría evitado una inflación más amplia de la oferta. El torniquete requiere que cualquier moneda que salga del pool de Sprout haya entrado de manera verificable, creando una salvaguarda contra la creación de nuevos tokens más allá de la circulación total de la red de alrededor de 16,63 millones de ZEC.

Esta no es la primera gran vulnerabilidad a la que se ha enfrentado la red. En 2019, la red parcheó un error descrito como un generador de criptomonedas de "falsificación infinita", aunque fue corregido antes de convertirse en un problema importante para la red de monedas de privacidad.

Zcash es la mayor ganadora en las últimas 24 horas entre las 100 principales monedas por capitalización de mercado, según datos de CoinGecko, subiendo más del 14% a un precio reciente superior a 255 dólares. El precio de la moneda de privacidad se disparó el otoño pasado desde un precio de unos 50 dólares a un máximo de varios años cercano a los 700 dólares, pero ha caído junto con Bitcoin y otras criptomonedas en los últimos meses.