Los desarrolladores refuerzan la seguridad de Zcash solucionando múltiples vulnerabilidades graves en la infraestructura central

Las vulnerabilidades de Zcash se han parcheado en dos implementaciones de nodo completo luego de una divulgación de seguridad coordinada. El 17 de abril de 2026, Zcash Open Development Lab lanzó zcashd v6.12.1, mientras que la Fundación Zcash lanzó Zebra v4.3.1. El investigador de seguridad Alex “Scalar” Sol informó los problemas el 4 de abril de 2026. Se abordaron cuatro vulnerabilidades, que abarcan un error de falla del nodo, una brecha en la aplicación del consenso y una omisión de contabilidad del torniquete. No se comprometieron los fondos de los usuarios y en ningún momento se produjo inflación de la oferta de la ZEC. El error más directamente explotable fue una falla en la transacción de Orchard presente tanto en zcashd como en Zebra. Una transacción diseñada con una codificación de clave aleatoria de todos ceros podría bloquear inmediatamente cualquier nodo que la procese. La transmisión repetida de dicha transacción podría impedir efectivamente que los nodos participen en la red. No se encontraron transacciones que desencadenaran esta condición en la red principal de Zcash antes del parche. También existía una brecha de aplicación entre las dos implementaciones. Zebra ya aplicó un requisito de protocolo sobre claves públicas efímeras dentro de las acciones de Orchard, pero zcashd no lo hizo. Esto significaba que zcashd podía aceptar una transacción elaborada y Zebra la rechazaba. Una transacción de este tipo podría haber forzado una bifurcación de cadena visible entre nodos que ejecutan diferentes clientes. Un error separado en zcashd, introducido con la versión 5.10.0 en agosto de 2024, podría deshabilitar la contabilidad del torniquete bajo ciertas condiciones. Recibir un encabezado de bloque duplicado de un par podría restablecer silenciosamente el seguimiento del saldo del grupo a nulo. Esta condición podría surgir del comportamiento normal de la red peer-to-peer, no sólo de un ataque deliberado. El torniquete rastrea los saldos de ZEC a través de grupos de valor protegidos y transparentes y sirve como una capa de seguridad crítica. Aun así, este error no se podía explotar de forma independiente para robar o inflar ZEC. La divulgación oficial confirmó que "explotarlo para robar fondos requeriría una vulnerabilidad de saldo independiente y separada". Divulgación de seguridad: Lanzamos zcashd v6.12.1 y la Fundación Zcash lanzó Zebra v4.3.1, que aborda cuatro vulnerabilidades, incluido un error de codificación de acciones de Orchard que podría bloquear los nodos y un problema relacionado de división de consenso entre los dos clientes. Grupos de minería… – Laboratorio de desarrollo abierto de Zcash (@zodl_co) 17 de abril de 2026 Cualquier violación del torniquete resultante también habría sido visible públicamente como una anomalía de cadena detectable. No se produjo ninguna anomalía de este tipo en la red principal de Zcash antes de que se implementara la solución. Zcash Open Development Lab abordó la divulgación directamente y afirmó: "Los grupos de minería que representan una gran mayoría del poder de hash de la red y el operador principal que ejecuta Zebra en la producción minera, implementaron parches antes de esta divulgación". Los ingenieros de ZODL, Kris Nuttycombe y Daira-Emma Hopwood, fueron los autores de los parches zcashd y revisaron el trabajo de cada uno. Nuttycombe abordó el accidente de Orchard, la brecha en la aplicación de la ley y el error de contabilidad del torniquete. Hopwood fue autor de parches de refuerzo para el comportamiento indefinido de desbordamiento de enteros y la seguridad de excepciones. Se contactó directamente con los grupos de minería ViaBTC, Luxor, F2Pool y AntPool, cada uno de los cuales ejecuta zcashd, para coordinarlos. Foundry, que ejecuta Zebra en la producción minera, también implementó su parche antes del lanzamiento público. Conrado Gouvêa, de la Fundación Zcash, desarrolló y entregó por separado el parche Zebra. Este alcance garantizó que se preservara la estabilidad de la red durante todo el proceso de divulgación. La versión zcashd v6.12.1 también incluyó cambios de refuerzo más amplios más allá de las correcciones de vulnerabilidades principales. Se agregó un punto de control de valor de suministro de la cadena en la activación de NU6.1 para permitir la detección de corrupción en el futuro. Se agregaron protecciones de desbordamiento de enteros en las rutinas de acumulación de saldo del grupo en múltiples rutas de código. Estas adiciones proporcionan una capa de defensa adicional contra escenarios de explotación extremos. Esto marca el segundo conjunto de vulnerabilidades de Zcash reveladas en un mes. En X, Zcash Open Development Lab declaró: "No tenemos evidencia de que alguno de estos errores haya sido explotado. Los fondos y la privacidad de los usuarios nunca estuvieron en riesgo, y no fue posible inflar la oferta de ZEC". Alex “Scalar” Sol también informó sobre la vulnerabilidad de verificación de Sprout de marzo de 2026 a través de los mismos canales coordinados. Los usuarios que ejecutan zcashd o Zebra deben actualizar inmediatamente a las últimas versiones parcheadas.