Hechos clave:
- Esta vulnerabilidad puede exponer las direcciones IP personales de muchos usuarios.
- Otras criptomonedas como Hush, Komodo y Pirate pueden presentar problemas.
El desarrollador principal de Komodo (KDM) Duke Leto reveló el 28 de septiembre una vulnerabilidad en todas las implementaciones de ZCash (ZEC) y la mayoría de sus bifurcaciones, que podría revelar los metadatos que contienen los nodos completos junto con las direcciones IP protegidas (zaddr).
A través de una publicación en su blog personal, Leto agregó que para rastrear el problema ya está en marcha un código de Vulnerabilidades y Exposiciones Comunes (CVE, por sus siglas en inglés).
Además, Leto aportó la lista de criptomonedas que pueden presentar el mismo problema. La lista incluye criptoactivos como Hush, Pirate y las smartchain de Komodo que utilicen zaddr por defecto.
También están en la lista criptomonedas como BitcoinPrivate, Zero, Zelcash, Horizen, LitecoinZ, VoteCoin, BitcoinZ, Ycash y Snowgem. Leto también destacó que Komodo ya ha eliminado la dirección blindada, lo que implica que KMD ya no tiene esa vulnerabilidad.
Leto explica que desde que Zcash y su protocolo comenzaron a funcionar, el error que amenaza la seguridad de todas las direcciones protegidas siempre ha estado ahí.
Ha existido un error para todas las direcciones protegidas desde la creación del protocolo Zcash. Está presente en todos los programas de código fuente de Zcash. Es posible encontrar la dirección IP de nodos completos que poseen una dirección protegida (zaddr). Es decir, si Alice le da a Bob un zaddr para que le pague, podría permitirle a Bob descubrir la dirección IP de Alice. Esto va drásticamente en contra del diseño del Protocolo Zcash.
Duke Leto, desarrollador principal de Komodo.
Zcash Metadata Leakage CVE-2019-16930https://t.co/BFVNd4MrZM
TLDR: Attackers can link shielded addresses (zaddrs) to the IP addresses and nodes that control them.
This is pretty bad if Alice doesn't want Bob to stalk her.
All $ZEC protocol coins have this bug. pic.twitter.com/U8zIWH02DS— Duke Leto (@dukeleto) September 28, 2019
En teoría, cualquiera cuya zaddr sea pública está bajo amenaza de revelación de identidad debido a que su dirección IP está en público. Esta vulnerabilidad puede exponer las direcciones IP personales de muchos usuarios del protocolo Zcash. La geolocalización y la dirección IP están asociadas a zaddr y por lo tanto son vulnerables.
Las personas que no hayan usado nunca un zaddr o que empleen un enrutamiento Tor Onion no serán víctimas.
Leto plantea algunas formas mediante las cuales los usuarios pueden mitigar el problema, una de ellas es usar Tor. En segundo lugar, los usuarios afectados pueden crear una nueva billetera con un nuevo zaddr y luego enviar los fondos a esa nueva dirección.
Si no quieres que la gente que conoce tu zaddr conozca tu dirección IP, te recomiendo que desactive los nodos completos hasta que estén parcheados, y/o que cree nuevas monederos con nuevos zaddrs y que deje de usar las monederos viejos hasta que se liberen las actualizaciones de software.
Duke Leto, desarrollador principal de Komodo.
Por otra parte, Electric Coin, la compañía detrás de la criptomoneda Zcash, está instando a los participantes de la red para que actualicen el software de sus nodos, con el objetivo de que adopten inmediatamente la última versión, ya que esta contiene una actualización de seguridad importante.
“Los usuarios deberían actualizar sus nodos a la versión 2.0.7-3 inmediatamente, y descontinuar el uso de las versiones anteriores”, comentaba un boletín con la fecha del 24 de septiembre.
Electric Coin ha venido enfrentando varios contratiempos relacionados con Zcash, tomando en cuenta que la sección británica de Coinbase, desde el 26 de agosto pasado, dejó de ofrecer soporte para la criptomoneda centrada en la privacidad.
