Zcash [ZEC]: resuelve vulnerabilidades de cartera Zcashd

Electronic Coin Company [ECC], la empresa creadora de moneda basada en la privacidad, Zcash [ZEC], publicó un informe en donde revela el lanzamiento de la versión 2.0.7-3 de Zcashd. Aunque ya había lanzado la misma versión, Florian Tramèr, Dan Boneh y Kenneth G. Paterson señalaron varios problemas relacionados con la actualización previa. 

El trío clasificó dos vulnerabilidades: “Rechazo” y “Ping”. La última versión disponible de Zcashd está destinada a abordar estas vulnerabilidades.

Según la publicación del blog de ECC, la vulnerabilidad de Rechazo, que más tarde se denominó CVE-2019-16930, representaba una amenaza para las direcciones de retoños (sapling). Esto se debe a una «excepción no controlada» en el código de procesamiento de billetera. Sin embargo, Zcashd lo solucionó al alterar el código para manejar la excepción. 

Por otro lado, el problema de Ping actuó como intimidación para las direcciones de retoños y de brotes; fue etiquetada como CVE-2019-17048. Esta vulnerabilidad se debe, principalmente, al código interno de billetera que procesa nuevas transacciones. 

Además, la publicación sugirió que los posibles atacantes podrían derivar la relación entre la transacción y el nodo, sin el uso de la dirección de la víctima. Agregó:

«El momento de la respuesta del nodo de la víctima, a la transacción de sondeo del atacante, es suficiente para que el segundo determine si el par de la primera tiene cargada la clave de visualización».

Zcashd 2.0.7-3 ahora alberga un código modificado que generará el procesamiento de nuevas transacciones de cartera en otro hilo. En un esfuerzo por evitar cualquier compromiso de la privacidad, la reducción del archivo de registro se ha deshabilitado en la última versión.

La Electronic Coin Company pidió a los usuarios que actualicen a la versión fija, puesto que ya está a su disposición.