- Un desarrollador de Komodo ha descubierto un error crítico en el código fuente de Zcash (ZEC).
- Esto podría potencialmente poner en peligro los datos geológicos de cada dirección protegidas (zaddr), junto con los datos del nodo completo asociado.
Duke Leto, uno de los principales desarrolladores del proyecto Komodo (KMD), ha descubierto un error muy crítico en el código fuente de Zcash (ZEC). En una entrada del blog, Leto reveló un error que permite a los atacantes obtener geodatos de nodos completos junto con direcciones protegidas («shielded adresses») bajo ciertas circunstancias. Se dice que el error en el código fuente de Zcash existe desde que se introdujo ZEC, lo que significa que todas las forks de Zcash también están afectadas.
Dado que los datos de geolocalización están vinculados a la dirección IP del usuario y, por lo tanto, a zaddr, los datos geológicos de cada dirección protegidas (zaddr), junto con su nodo asociado, están potencialmente en riesgo. Por ejemplo, si «A» transmite un zaddr a «B» para pagarlo, «B» podría determinar la dirección IP y, por tanto, los geodatos de «A». Esto viola fundamentalmente el diseño anónimo de privacy coins como Zcash o Monero (XMR). En la entrada del blog Leto escribe preliminarmente (traducido libremente):
Desde la introducción de Zcash y el protocolo Zcash existe un error para todas las direcciones protegidas. Está incluido en todos los programas de código fuente de Zcash. Es posible encontrar la dirección IP de nodos completos que tienen una dirección protegidas («zaddr»). Es decir, si Alice le da a Bob una dirección IP pagadera, podría permitirle a Bob encontrar la dirección IP de Alice. Esto viola drásticamente el diseño del protocolo Zcash.
Según Leto, todas las personas que usan zaddr y han compartido zaddr con terceros se ven afectadas. Este es el caso, por ejemplo, si el zaddr ha sido compartido públicamente en medios sociales, en un informe de fallo en GitHub, o si el usuario alguna vez ha dado el zaddr a un grupo de intercambio o minería. Los usuarios, por otro lado, no se ven afectados por el error si nunca han utilizado un zaddr o han enviado una ZEC a otros, pero no han recibido la ZEC. Además, los usuarios no se ven afectados si han usado Tor o Tails.
Leto escribe que un código CVE (Common Vulnerabilities and Exposures) ya está en progreso para rastrear el problema. Leto también ha creado una lista de criptomonedas, forks de Zcash, que se enfrentan a un problema similar. La lista incluye ZClassic, Safecoin, Horizen, BitcoinZ, LitecoinZ, Bitcoin Private y Anon, entre otros. Leto también señala que Komodo desactivó la función de las direcciones protegidas hace mucho tiempo y, por lo tanto, no se ve afectada.
¿Qué pueden hacer los usuarios de Zcash?
Leto escribe que la manera más fácil de prevenir la fuga de metadatos es usar Tor. Además, los usuarios de Zcash pueden crear una nueva wallet.dat con un nuevo zaddr y luego enviar todos los fondos a esa nueva dirección. Si un usuario mantiene el nuevo zaddr privado, está protegido de la fuga de metadatos.