Shielded Labs propone una actualización de Zcash para verificar el suministro tras un error

Shielded Labs ha propuesto una nueva actualización de la red Zcash que permitiría a cualquiera verificar que el suministro de la criptomoneda de privacidad no ha sido inflado secretamente. La propuesta se produce tras la divulgación de un bug recientemente parcheado en el pool blindado principal de la red, que podría haber permitido la falsificación indetectable de $ZEC.

Shielded Labs, una organización sin fines de lucro que financia el desarrollo de Zcash, señaló en una entrada de blog que la vulnerabilidad estuvo sin descubrir en el pool Orchard desde su lanzamiento en mayo de 2022 hasta que los ingenieros la cerraron esta semana. Zcash es aproximadamente la 11.ª criptomoneda más grande por valor de mercado. Según datos de CoinGecko, $ZEC ha revertido las ganancias de la semana, con una caída del 16% en los últimos siete días y un desplome del 25% en las últimas 24 horas tras conocerse la noticia del bug.

Orchard, el pool blindado más nuevo y grande de Zcash, tiene más de 4 millones de $ZEC. Eso representa la mayor parte del aproximadamente 30% del suministro que se encuentra en pools privados, según los rastreadores de suministro blindado. El episodio pone de relieve un equilibrio en el corazón de las criptomonedas de privacidad: la misma criptografía que oculta los saldos también hace imposible demostrar solo desde la cadena si un bug fue explotado. Shielded Labs dijo que no hay forma de determinar criptográficamente si alguien explotó la falla antes de la corrección, aunque consideró que una explotación previa era poco probable.

Cómo se encontró el bug

El investigador de seguridad independiente Taylor Hornby encontró la falla el 29 de mayo durante una auditoría encargada por Shielded Labs. La divulgó esa tarde a los ingenieros del Zcash Open Development Lab (ZODL), el grupo que mantiene el protocolo. Shielded Labs dijo que Hornby utilizó el modelo Opus 4.8 de Anthropic, lanzado el 28 de mayo, junto con una herramienta de IA personalizada. Escribió un exploit funcional que generó $ZEC falsificado ilimitado en un entorno de prueba local. Ejecutado en mainnet, dijo Shielded Labs, la misma herramienta habría producido $ZEC falsificado ilimitado e indetectable.

El problema era un bug de solidez, lo que significa que se podía hacer que la red aceptara una transacción que debería haber rechazado. Se originó en una parte con restricciones insuficientes del circuito Orchard que permitía a un atacante pasar entradas falsas a través de una verificación de curva elíptica y aun así hacer que la verificación pasara. Shielded Labs describió el impacto como la capacidad de crear $ZEC falsificado ilimitado e indetectable dentro de Orchard.

El suministro total permanece intacto

La Zcash Foundation, que desarrolla el software Zebra utilizado para ejecutar la red, describió el riesgo en una publicación del miércoles. Dijo que la explotación podría haber permitido el doble gasto dentro de Orchard, pero no podría haber inflado el suministro total de $ZEC, que está limitado por la contabilidad de "torniquete" de la red. El torniquete limita cuánto valor puede salir de cada pool a la cantidad que entró en él. La Fundación dijo que el torniquete confirmó que el suministro total permaneció intacto y que no había evidencia de creación de valor no autorizada. Ambos grupos coinciden en que el bug fue detectado antes de cualquier explotación conocida y que la privacidad de los usuarios no se vio afectada.

Cómo se implementó la corrección

Tras una coordinación privada con mineros e intercambios que comenzó el 31 de mayo, los ingenieros enviaron un soft fork de emergencia que deshabilitó las transacciones de Orchard. Se activó el 2 de junio en el bloque 3.363.426. Luego, una actualización de Hard Fork llamada NU6.2 rehabilitó Orchard con un circuito corregido el 3 de junio en el bloque 3.364.600, dijo la Fundación. Calificó la respuesta como la segunda actualización impulsada por seguridad en la historia de Zcash desde que la red se lanzó en 2016. La corrección está rastreada en un aviso de seguridad de Zebra. Las transferencias de Orchard estuvieron congeladas durante ese período, mientras que las transacciones transparentes y de Sapling continuaron funcionando. Algunos navegadores de blockchain mostraron brevemente que no había nuevos bloques después, lo que generó confusión sobre si la red había caído.

La actualización propuesta

Shielded Labs dijo que NU6.2 cierra el bug pero no prueba que el suministro de Orchard nunca fue manipulado. Su propuesta desplegaría un nuevo pool blindado y encaminaría todas las monedas que salen de Orchard a través de la contabilidad de torniquete, permitiendo a cualquiera verificar que no existe $ZEC falsificado. Como cualquier actualización importante, necesitaría el apoyo de la comunidad y tendría que pasar el proceso de gobernanza de Zcash antes de su activación. Shielded Labs dijo que planea publicar los detalles la próxima semana. La respuesta coordinada ha generado críticas. Algunos desarrolladores y comentaristas argumentaron que la corrección confidencial, que dependió de un pequeño grupo de ingenieros, mineros e intercambios, mostró cuán centralizada puede ser la respuesta de emergencia de la red. También cuestionaron si los pools blindados pueden alguna vez ser completamente auditados.

The post Shielded Labs Proposes Zcash Upgrade to Verify Supply After Bug appeared first on TheCryptoUpdates.