Os programadores do Zcash estão a explorar a implementação de uma nova pool protegida (shielded pool) após uma atualização de emergência que corrigiu uma vulnerabilidade no Orchard, o sistema de transacções protegidas mais recente da rede. A Shielded Labs, uma organização suíça de suporte ao Zcash, disse numa actualização de segurança de sexta-feira que a vulnerabilidade poderia ter permitido a criação de uma quantidade ilimitada de ZEC falsificado dentro da pool do Orchard, desencadeando discussões sobre uma actualização da rede com contabilidade do tipo turnstile para as moedas que saem do Orchard. A actualização proposta tem como objectivo restabelecer a confiança na verificação de oferta após o bug, que não tem prova criptográfica de se foi explorado antes de ser corrigido, embora a Shielded Labs tenha afirmado que a exploração prévia é improvável.
ZEC desceu 50% após divulgação da vulnerabilidade
A ZEC caiu cerca de 50% na sexta-feira após a vulnerabilidade ter sido divulgada publicamente, descendo de uma máxima diária de $550,30 para um mínimo de $264,80, de acordo com dados da CoinGecko. O token recuperou mais tarde para $308,07, mas permaneceu muito abaixo da sua máxima de sexta-feira.
Justin Bons, fundador e director de investimentos da CyberCapital, disse que o mercado estava a reagir em excesso porque “os bons apanharem-no primeiro”. O cofundador da Gemini, Cameron Winklevoss, defendeu a resposta, afirmando que a descoberta reflecte o investimento do Zcash em investigadores de segurança e não uma razão para pânico. Argumentou que bugs são inevitáveis em redes de camada-1 e que a questão-chave é se as equipas conseguem encontrá-los e corrigi-los antes de o fazerem os atacantes.
Shielded Labs propõe contabilidade turnstile para as moedas do Orchard
A Shielded Labs disse na sua actualização de segurança de sexta-feira que está a explorar uma proposta de actualização da rede que implementaria uma nova pool protegida e aplicaria contabilidade do tipo turnstile às moedas que saem do Orchard. A proposta não é final e continua dependente de explicações adicionais e de revisão pela comunidade, estando previsto um post de seguimento na próxima semana para explicar como funcionaria a actualização e que tradeoffs poderá criar.
A questão central é a garantia de oferta. A Shielded Labs disse que não existe forma criptográfica de provar se o bug tinha sido explorado antes de ser corrigido. O grupo disse acreditar que a exploração prévia é improvável, mas a incapacidade de provar a não-exploração é o que torna o mecanismo turnstile proposto importante. A contabilidade turnstile criaria um limite de verificação para as moedas que passam da pool afectada para uma nova pool protegida ou para outras partes da rede.
Programadores discutem verificação formal como solução de longo prazo
O programador do Zcash e investigador de criptografia Sean Bowe disse que a resposta de longo prazo é tornar os protocolos protegidos e as suas implementações verificáveis formalmente. O fundador do Zcash Open Development Lab, Josh Swihart, disse que a vulnerabilidade do Orchard era uma falha nas regras manuscritas do circuito, e não na criptografia subjacente.
Wei Dai, parceiro de investigação na firma de venture blockchain 1kx, disse que o bug do circuito do Orchard parecia “óbvio a posteriori”, mas tinha sido ignorado pelos designers de protocolo, criptógrafos e auditores. Disse que expandir a cobertura de verificação formal é “provavelmente a única solução de longo prazo”.
Alvo da actualização NU7 no final de Julho
Josh Swihart disse, separadamente, que uma segunda pool do Orchard poderia, em princípio, ser alvo da actualização NU7 do Zcash no final de Julho. Disse que não estava a assumir uma posição fixa sobre se a comunidade deveria construir essa segunda pool. A Shielded Labs disse que está planeado um post de seguimento na próxima semana para explicar como funcionaria a actualização.
FAQ
Que vulnerabilidade o Zcash corrigiu no Orchard?
A Shielded Labs disse que a vulnerabilidade poderia ter permitido a um agente malicioso criar uma quantidade ilimitada de ZEC falsificado dentro da pool do Orchard. A falha foi corrigida através de uma actualização de emergência do Zcash.
Quanto caiu a ZEC após a divulgação da vulnerabilidade?
A ZEC desceu cerca de 50% na sexta-feira, caindo de uma máxima diária de $550,30 para um mínimo de $264,80, de acordo com dados da CoinGecko. Mais tarde recuperou para $308,07, mas permaneceu muito abaixo da sua máxima de sexta-feira.
Quando está agendada a actualização NU7 do Zcash?
O fundador do Zcash Open Development Lab, Josh Swihart, disse que a actualização NU7 está prevista para o final de Julho, o que em princípio poderia incluir uma segunda pool do Orchard se a comunidade apoiar a proposta.
