Bug Zcash crítico poderia ter permitido criar criptomoedas “Infinitas”

Os desenvolvedores por trás da cryptomoeda Zcash, recentemente descobriram e corrigiram uma vulnerabilidade altamente perigosa de uma forma sigilosa que poderia permitir que um invasor inventasse números infinitos de Zcash (ZEC).

Sim, infinito … como uma fonte interminável de dinheiro.

Lançado em outubro de 2016, o Zcash é uma criptomoeda orientada para a privacidade que afirma ser mais anônima do que o Bitcoin, já que o remetente, o destinatário e o valor das transações permanecem ocultos.

Em um post publicado hoje, a Zerocoin Electric Coin Company – a startup por trás da Zcash – revelou que um de seus funcionários, Ariel Gabizon, descobriu a vulnerabilidade em seu código em 1º de março de 2018, na noite anterior à sua palestra na conferência Financial Cryptography. quase um ano atrás.

Gabian contatou Sean Bowe, um criptógrafo da Zcash Company, imediatamente após descobrir a vulnerabilidade da falsificação, como apelidado pela equipe, e a equipe decidiu manter a falha em segredo para evitar o risco de invasores explorarem a vulnerabilidade.

De acordo com a empresa, apenas quatro funcionários da Zcash estavam cientes do problema antes que uma correção fosse incluída secretamente na rede Zcash em 28 de outubro de 2018.

Além disso, “descobrir essa vulnerabilidade exigiria um alto nível de sofisticação técnica e criptográfica que muito poucas pessoas possuem “, a empresa acredita que ninguém mais estava ciente dessa falha e que nenhuma falsificação ocorreu em Zcash.

Agora, a equipe Zcash detalhou tudo sobre a vulnerabilidade em seu site oficial para informar o público em geral, que, se explorado, teria permitido que um invasor imprimisse uma quantidade infinita de tokens Zcash.

Detalhes da Vulnerabilidade Catastrófica de Zcash

De acordo com a equipe, a vulnerabilidade de falsificação residia na variante do zk-SNARKs – uma implementação de criptografia de conhecimento zero que a Zcash usa para criptografar e proteger as transações – que foi implementada independentemente por outros projetos.

Tanto o Komodo blockchains quanto o Horizen (anteriormente conhecido como ZenCash) sofreram o mesmo problema e o consertaram em suas plataformas após serem notificados pela equipe da Zcash em novembro de 2018 por meio de um email criptografado.

A vulnerabilidade foi o resultado de um “algoritmo de configuração de parâmetros” que permitiu que “um analista trapaceiro contornasse uma verificação de consistência” e, assim, transformasse “a prova de uma declaração em uma prova válida de uma afirmação diferente”.

Qualquer pessoa com acesso à MPC, usada para configurar os recursos de privacidade do Zcash, teria sido capaz de criar falsas provas, concedendo a elas a capacidade de criar uma quantidade ilimitada de moedas blindadas.

Embora os desenvolvedores não tenham encontrado nenhuma evidência de falsificação ocorrida no Zcash, eles confirmaram que a vulnerabilidade existia há anos.

“A vulnerabilidade existe há anos, mas não foi descoberta por numerosos especialistas em criptografia, cientistas, auditores terceirizados e equipes de engenharia de terceiros que iniciaram novos projetos baseados no código da Zcash”, escreveu a empresa.

Como o Zcash é privado, mesmo que alguém possa ter falsificado o Zcash no passado, não há como descobrir. No entanto, a Zcash Company argumentou que “estudou o blockchain em busca de evidências de exploração: um ataque pode deixar um tipo específico de pegada. Não encontramos essa pegada”.

Correções para esta vulnerabilidade foram implementadas na atualização da rede Zcash Sapling em outubro de 2018, e algumas, incluindo o ex-denunciante da NSA Edward Snowden , aplaudiram o tratamento da falha pela equipe.