-
La vulnerabilidad en el pool Orchard permitía crear ZEC falsos sin dejar rastro.
-
Un desarrollador advirtió que la migración al nuevo pool puede afectar la privacidad.
La red Zcash desplegó este 2 de julio la versión de prueba (testnet) de la actualización Ironwood, según confirmó el equipo de Zcash Open Development Lab, como primer paso hacia la activación en la capa principal (mainnet). Sean Bowe, uno de los desarrolladores principales de Zcash, estimó que la implementación final ocurriría alrededor del 21 de julio.
«En las últimas semanas hemos logrado un enorme progreso en la activación de Ironwood en Zcash», aseguró Bowe. Este colaborador además precisó en una publicación en X que todos los cambios en las reglas de consenso ya fueron implementados y llevan un tiempo bajo auditoría, y que las especificaciones técnicas (ZIP) están cerca de su versión final. El desarrollador añadió que existe hashrate suficiente señalizando disposición técnica para la actualización.
Bowe reconoció, sin embargo, que algunas wallets no llegarán preparadas a tiempo, aunque esto no amerita retrasar la activación porque habrá «alternativas adecuadas» para quienes lo necesiten, sin detallar cuáles serían esas alternativas.
Por su parte, el equipo de CipherScan, un explorador de bloques del ecosistema Zcash, confirmó hoy 3 de julio que su versión de testnet ya está lista para la migración de Ironwood y que se encuentra en proceso de adaptación para mainnet.
¿Qué es Ironwood y a qué fallo responde?
Ironwood es la actualización que introduce nuevos torniquetes (turnstiles), un mecanismo que audita y cuenta las entradas y salidas de fondos en los pools blindados de Zcash, para permitir verificar el suministro total de ZEC mediante verificación formal (un método matemático que comprueba de forma rigurosa que un sistema cumple determinadas propiedades).
En este caso, un “pool blindado”, como se le conoce en el entorno de Zcash, se refiere a un protocolo que permite aumentar la privacidad en el envío y recepción de criptomonedas, ya que oculta tanto a los emisores como los montos de las transferencias realizadas a través de este pool.
La actualización responde a una vulnerabilidad detectada a finales de mayo pasado en Orchard, el pool que concentraba 4,5 millones de los 5,1 millones de ZEC que circulan en los pools blindados de la red, lo que representa más del 30% del suministro total de ZEC.
La falla en Orchard, hallada con inteligencia artificial (IA), estaba activa desde mayo de 2022 y permitía crear ZEC falsos sin dejar rastro, lo que obligó a una actualización de emergencia el 2 de junio. Zooko Wilcox, cofundador de Zcash, explicó que no hay certeza sobre si la vulnerabilidad del pool Orchard haya sido explotada antes de la actualización de emergencia, aunque consideran improbable su explotación.
La migración también preocupa por la privacidad
Un análisis técnico publicado el 2 de julio por el desarrollador conocido en X como Mohak advirtió que la forma en que los usuarios migren sus fondos al nuevo pool también tiene implicancias de privacidad. Según su estudio, realizado sobre 291.746 eventos de entrada al pool Orchard, una migración hecha en una sola transacción deja cerca del 95% de los montos identificables de manera única.
Mohak propuso, en cambio, dividir los fondos en fracciones de denominaciones estandarizadas (montos fijos y comunes, como múltiplos de 10 ZEC) y distribuirlas en varias transacciones a lo largo del tiempo. Bajo ese esquema, según sus cálculos, la coincidencia de montos entre distintos usuarios sube a cerca del 93%, lo que dificultaría identificar transacciones individuales.
Finalmente, el propio Mohak señaló que ese enfoque, ya implementado por Vizor Wallet según su desarrollador, requeriría que las distintas wallets del ecosistema coordinen un esquema común de denominaciones para que la protección no se fragmente entre quienes lo adopten y quienes no.








