Zcash informó sobre la reparación de una falla en el sistema que permitía vulnerar la blockchain en la que se registran las transacciones de la criptomoneda.
Security announcement & release: 1.0.8-1 fixes a bug which may cause Zcash nodes to crash. More info: https://t.co/9N9W74rDzV Update nodes!!
— Zcash Company (@zcashco) 14 de abril de 2017
Con el bug detectado en el protocolo, cualquier atacante podía vulnerar un nodo de la cadena de manera remota saturando de solicitudes la red. Según los desarrolladores de Zcash se trataba de una vulnerabilidad de denegación de servicio que con la última actualización ha sido solventada.
El error fue descubierto el pasado 12 de abril, y los desarrolladores Zooko Wilcox y Paige Peterson fueron los responsables de hacer pública la solución para los usuarios de esta criptomoneda. El origen del bug fue un cambio incluido en la versión 1.0.4 de Zcash.
En Zcash 1.0.4, se realizó un cambio en este cálculo para aumentar la prioridad de las transacciones blindadas. Sin embargo, un error en este código puede – en circunstancias que son normalmente raras, pero pueden ser forzadas por un atacante – resultar en un acceso de memoria fuera de los límites, lo que causa un error de segmentación.
La solución se incluyó en el paquete 1.0.8-1, y según los responsables de la divulgación durante el tiempo de vulnerabilidad la plataforma no fue atacada.
Si una transacción de ataque se ejecuta correctamente, sólo los usuarios que ejecutan clientes vulnerables que han aceptado la transacción en su mempool serán vulnerables. Aceptar la transacción de un atacante con un cliente antiguo puede causar que el cliente Zcash se bloquee.
Los usuarios que hayan actualizado Zcash no tendrán ya ningún riesgo de ser atacados a través de este bug dentro del código, por lo que la empresa ha buscado difundir esta solución a través de las redes sociales, foros y otros canales de comunicación.
En un ataque de denegación de servicio (DoS), el atacante satura de solicitudes al nodo, evitando así que este preste su servicio a otros participantes de la red que deseen contactarle. Esto podría detener las transacciones en la parte de la blockchain que controla ese nodo, por tanto, los usuarios se verían gravemente afectados.
La solución a este bug interno surge rápidamente, lo que demuestra que los desarrolladores de Zcash se encuentran realmente atentos a cada actualización lanzada. Recientemente, el esquema de gobernabilidad cambió a raíz de la creación de la Zcash Foundation, una asosiación sin fines de lucro que espera preservar la integridad de la tecnología y llevarla a otras organizaciones o clientes interesados.
«Zcash informó sobre la reparación de una falla en el sistema que permitía vulnerar la blockchain en la que se registran las transacciones de la criptomoneda.» / «Zcash reported on the repair of a system failure that allowed to violate the blockchain in which the transactions of the cryptocurrency are registered.»
There wasn’t actually any risk to the integrity of the blockchain from this bug, only to the stability of nodes. There could have been an increased risk of 51% attacks if the bug had been actively exploited against miners, though.
«En un ataque de denegación de servicio (DoS), el atacante satura de solicitudes al nodo, evitando así que este preste su servicio a otros participantes de la red que deseen contactarle.» / «In a denial of service (DoS) attack, the attacker saturates requests to the node, thus preventing the service from serving other network participants who wish to contact it.»
That’s true for some denial of service attacks, but not for the particular one described here. A single transaction would have been sufficient for the attack.
— Daira Hopwood (Zcash developer)
4