¡Bienvenido! ¿Eres nuevo en Zcash?
La red de Zcash es joven, ¡pero evoluciona rápidamente! ¡Regístrate y nos pondremos en contacto con más información sobre cómo puedes comenzar con Zcash!

Idioma

Anuncio de Seguridad 22-11-2016

Nathan Wilcox | Nov 22, 2016

Sinopsis: Un error de invalidación de cache, puede permitir a un atacante iniciar un fork de una cadena, causando que los nodos pre-1.0.3 sigan una cadena inválida. En el lanzamiento zcashd 1.0.3 se implementó una corrección a este problema.

ZcashCo y varios sitios de intercambios, vendedores de billeteras y mineros ya han desplegado una mitigación así como detectores para este vector de ataque. No se han detectado ataques.

¿Quién está en riesgo?: Los usuarios están en riesgo solamente cuando se dan dos condiciones simultáneamente:

  1. Utilizan lanzamientos de zcashd anteriores a 1.0.3, incluyendo 1.0.0, 1.0.1 y 1.0.2, Y
  2. Se ejecuta un ataque en toda la red para lanzar un fork de una cadena. Esto requiere una mayoría de mineros corriendo software vulnerable.

Usuarios que utilizan servicios de terceras partes, deben averiguar si dichos servicios han mitigado este problema. Hemos colaborado con importantes sitios de intercambio, proveedores de billeteras y mineros y ya han mitigado este problema para sus servicios.

¿Quién no está en riesgo?: Los usuarios que cumplen con cualquiera de las siguientes dos condiciones no están en riesgo:

  1. han actualizado a zcashd 1.0.3, o cuentan con un servicio que lo haya hecho, O
  2. ningún ataque a toda la red ha tenido éxito (por ejemplo, porque una parte suficiente de mineros ha mitigado la vulnerabilidad).

En otras palabras: los individuos y los servicios están protegidos siempre y cuando actualicen, y la red completa está protegida siempre y cuando una parte suficiente de los mineros actualicen.

¿Cómo pueden protegerse los usuarios que están en riesgo?

  1. La mejor protección es actualizando al lanzamiento 1.0.3 de zcashd.
  2. Para usuarios de servicios de terceras partes (como sitios de intercambio, billeteras o pools de minería), verificar si el servicio ha anunciado actualizar a zcashd 1.0.3. Si no lo han hecho, considera pausar el uso del servicio hasta que anuncien una actualización.

¿Como puedo avisar si está ocurriendo un ataque? ZcashCo y varios grandes sitios de intercambio, proveedores de billeteras y mineros han desplegados sensores que detectan los ataques contra este vector. En el caso que un ataque sea detectado, ZcashCo tomará las siguientes acciones:

Nota: Las casas de intercambio, vendedores de billeteras y mineros con los que estamos en contacto, ya están protegidos de ataques como este.

Impacto: Si se ejecuta de manera exitosa un ataque de red (que requiere que la mayoría de la capacidad de minería sea vulnerable) entonces solamente los usuarios que corran clientes vulnerables seguirán un fork de una cadena que sera inválida. Las transacciones en ese fork serán revertidas en la medida que más mineros se actualicen haca el fork válido.

Trasfondo Técnico: Dado el error de invalidación de cache, algunos nodos en la red Zcash aceptarán transacciones inválidas particulares como válidas [1]. Si una mayoría de hashrate de la red acepta una transacción inválida como válida, entonces podría haber un fork de bloque.

Anuncios de Seguimiento:

[1]Ten en cuenta que la validez de una transacción está completamente especificada por nuestro protocolo, especificación del protocolo Zcash, v2016.0-beta-1.10; no hay lugar a dudas que esta falla de seguridad es un error de implementación.