Hechos clave:
-
Un desarrollador asegura haber resuelto vulnerabilidad importante, pero la mantendrá privada.
-
El equipo de Zcash argumenta llevar en sus manos la resolución de errores.
Recientemente, un desarrollador se quejó públicamente de la falta de recompensas por la detección de vulnerabilidades en el código de Zcash. Argumentó que existe un creciente número de potenciales fallas en la red que podrían ser resueltas con un programa de bug bounty (recompensas) y que actualmente permanecen privadas.
Duke Leto publicó su queja contra Electronic Cash Company (ECC), empresa responsable del desarrollo de Zcash (ZEC), tras asegurar en GitHub que identificó una vulnerabilidad en el código de la red tras la implementación de Sapling. La falla permitiría ejecutar un ataque de denegación de servicios (DDoS) y evitar que se procesen transacciones en la red durante todo el día por cuatro dólares. No obstante, mientras ECC no ofreciera recompensa por su trabajo, la herramienta “Sapling Wood-Chipper” permanecería privada.
La demanda de recompensas por la detección de la vulnerabilidad y su posible corrección fue respondida por un usuario identificado como Zebambam, quien habló en nombre de ECC. Zebambam explicó a Leto que actualmente no existe ningún programa de recompensas porque la criptoempresa ya identificó la mayor parte de las vulnerabilidades y las ha ido corrigiendo.
De acuerdo a la etiqueta “Denegación de Servicio” en el repositorio de Zcash, al momento existen 41 problemas esperando ser solucionados. Dichas vulnerabilidades, como las de otra naturaleza en la red, siguen una lista de prioridad. Actualmente, la publicación donde Leto expone su queja se encuentra de primera entre las prioridades de esta etiqueta y de número 12 entre las 841 vulnerabilidades reportadas en la red de Zcash.
Tras la respuesta de Zebambam, Leto destacó que a su juicio la falta de programas de recompensas sería prueba del poco interés de ECC por la seguridad de la red de Zcash. Es importante tener en consideración que la red de Zcash destina un porcentaje de los ZEC minados para los fundadores del proyecto, entre los que se encuentra Zooko Wilcox, CEO de ECC.
La postura de Leto evidencia una preocupación común entre los desarrolladores blockchain: la seguridad de sus fondos. Al momento, ECC ni la Fundación de Zcash han tomado postura ante los reclamos de Leto y la supuesta vulnerabilidad que dejaría a la red de ZEC vulnerable por menos de USD 10.
