A Zcash, uma das principais criptomoedas de privacidade do mercado, anunciou recentemente que encontrou a vulnerabilidade de falsificação na “criptografia subjacente a alguns tipos de provas de conhecimento-zero”. Curiosamente, esta vulnerabilidade foi detectada pela empresa Zcash em março de 2018, cerca de onze meses atrás. Este foi posteriormente corrigido em outubro de 2018 durante o upgrade da Sapling Network.
Para evitar um ataque, a companhia decidiu não divulgar na época maiores detalhes a respeito da vulnerabilidade. Três membros da comunidade Zcash, incluindo Zooko Wilcox, então, optaram por deletar o script, “que permitiria que um adversário criasse falsas provas”, de todas as plataformas disponíveis para a comunidade. Ele foi deletado “sob uma coincidente história de cobertura de segurança operacional”.
De acordo com o comunicado oficial, a vulnerabilidade não teria nenhum efeito na privacidade dos usuários e estava limitada apenas à falsificação. Ou seja, a única coisa possível seria criar uma Zcash falsa. E ainda, seria possível criar a falsificação sem ser detectado. Inclusive, o a equipe disse no anúncio que esta vulnerabilidade esteve presente no código durante anos, até ser detectada.
Apesar da gravidade, a companhia afirma que tal vulnerabilidade nunca foi explorada e lista abaixo os motivos de tal afirmação.
- Necessário alto nível de sofisticação técnica e criptográfica para detectar a vulnerabilidade e, de acordo com eles, apenas poucas pessoas possuem tais habilidades de alto nível.
- Ela conseguiu passar vários anos sem ser detectada por auditores, criptógrafos, cientistas e até mesmo equipes de engenharia que lançaram novos projetos baseados no código Zcash.
- A equipe ainda não encontrou nenhuma evidência relacionada à exploração da vulnerabilidade.
- Eles acrescentaram que, se ocorresse, teria sido detectado pelo monitoramento da quantidade total de Zcash contida nos endereços de germinação.
- A empresa deu passos “extraordinários” para minimizar a possibilidade de um ataque.
- Baseado em seu estudo sobre a blockchain, um ataque teria deixado uma pegada e a equipe não encontrou nenhuma.
No entanto, a empresa acrescentou que, embora a Zcash esteja em segurança agora, existem projetos que podem ser afetados por isso. Pode ser qualquer projeto que dependa da “cerimônia do MPC usada pelo sistema original de brotos que foi distribuído no lançamento inicial do Zcash”. Além disso, a empresa também revelou que isso foi divulgado para projetos de terceiros: Horizen [aka ZenCash ] e Komodo.