-
Si hubo ZEC falsos y ya salieron del pool, los fondos legítimos podrían quedar sin recuperar.
-
Hay opciones para mover los fondos de Orchard, aunque implican menos privacidad.
Zooko Wilcox, cofundador de Zcash y directivo de la compañía Shielded Labs, y Jason McGee, cofundador de Shielded Labs, afirmaron que no hay certeza sobre si la vulnerabilidad del pool Orchard (el sistema de privacidad de Zcash) fue explotada antes de la actualización de emergencia que la red Zcash tuvo que efectuar el pasado 2 de junio, aunque consideran improbable su explotación.
Si efectivamente circularon tokens ZEC falsificados dentro del pool Orchard y esos fondos salieron primero a través del mecanismo llamado torniquete (que limita cuánto puede salir de un pool blindado según lo que legítimamente ingresó), algunos usuarios podrían no recuperar la totalidad de sus fondos legítimos dado que la cantidad de retiros de ZEC del pool alcanzaría su límite, dejando el resto inaccesible.
Publicidad
El torniquete no distingue entre ZEC genuino y falsificado: una vez agotado el cupo de salida, los fondos restantes quedan atrapados dentro del pool, sin importar a quién pertenecían originalmente.
Las opciones para mover los fondos fuera de Orchard
En su comunicado publicado en X este 14 de junio, Wilcox y McGee detallan dos rutas para quienes prefieran moverse de forma preventiva. La primera es transferir los fondos a una dirección transparente (t-address), lo que expone el monto y el momento de la transferencia y vincula esos fondos de forma pública a esa dirección.
La segunda es moverlos al pool Sapling, la versión anterior del sistema de privacidad de Zcash, que también expone monto y momento, pero sin asociar los fondos a una dirección específica. Esta segunda opción depende de una ceremonia de confianza (un proceso criptográfico inicial cuya seguridad exige que los participantes hayan destruido cierta información generada durante ese proceso) realizada en 2018, y hoy solo las wallets YWallet y Zkool la admiten, según Wilcox y McGee.
Wilcox y McGee consideran razonable, de todos modos, dejar los fondos donde están: «Si los fondos están hoy en una wallet de autocustodia blindada, dejarlos ahí es una opción razonable, dado que consideramos improbable que haya existido una falsificación previa». Reconocen, sin embargo, que cada usuario puede llegar a una conclusión distinta según su situación.
Según Wilcox y McGee, Shielded Labs sumó además una revisión adicional con un modelo de inteligencia artificial de Anthropic aún no disponible públicamente, que hasta ahora no encontró nuevas vulnerabilidades de falsificación. El comunicado no detalla la metodología de esa revisión.
Wilcox y McGee agregan que Shielded Labs también trabaja con el Tachyon Project, una propuesta de mejora de escalabilidad para las transacciones blindadas de Zcash, para sumar garantías adicionales contra este tipo de fallas, aunque sin precisar plazos.
En coincidencia con lo dicho por los desarrolladores de Zcash, el precio del token nativo ZEC subió casi un 27% en las últimas 24 horas, según datos de CoinMarketCap, recuperando así el terreno perdido tras la aparición de la vulnerabilidad en Orchard.
¿Por qué sería improbable que la vulnerabilidad en Zcash haya sido explotada?
Wilcox y McGee, sin embargo, sostienen que la explotación es improbable y dan tres motivos. En primer lugar, según ellos, la falla recién se detectó tras años de revisión por parte de criptógrafos, y su hallazgo fue producto de un esfuerzo deliberado del investigador Taylor Hornby con herramientas de inteligencia artificial, no de un descubrimiento casual.
En segundo orden, agregan que los desarrolladores de Zcash reaccionaron con rapidez, congelando el pool Orchard junto con los mineros y desplegando la corrección. Y en tercera instancia, argumentan que los robos de criptomonedas suelen monetizarse de inmediato, por lo que si hubiera circulado ZEC falsificado ya deberían haber aparecido señales. «Los robos de criptomonedas suelen ser del tipo ‘entrar y salir’, no estrategias que permanecen ocultas durante meses o años», afirman Wilcox y McGee.
La respuesta de Zcash ante el fallo en Orchard
Como ya lo explicó CriptoNoticias, la respuesta estructural que proponen Wilcox y McGee es Ironwood, la actualización que sellaría el pool Orchard. Bajo esta propuesta, este pool no admitiría nuevos ingresos, los fondos dejarían de circular dentro de él y la única salida posible sería a través del torniquete, limitado a lo que legítimamente entró.
De aprobarse, cualquier nodo podría verificar por sí mismo que el suministro de ZEC no fue inflado, sin depender de la palabra de Shielded Labs ni de nadie más. «Los usuarios no deberían tener que depender de nuestra evaluación, ni de la de nadie más», sostienen Wilcox y McGee.
No obstante, hasta que la actualización Ironwood sea implementada, esa verificación sigue sin estar disponible, y la decisión de mover o no los fondos de Orchard queda, por ahora, en manos de cada usuario.
