Zcash conserta falha grave no código em segredo

Em uma sequência de eventos mantidos em segredo, o time de desenvolvimento por trás da moeda com foco em privacidade Zcash consertou um problema grave de vulnerabilidade na cripto, que poderia permitir que hackers gerassem moedas infinitas.

A vulnerabilidade foi considerada tão perigosa que apenas quatro pessoas sabiam sobre ela antes de um patch ser lançado na rede no final de outubro do ano passado. Os quatro a saberem do problema eram: Ariel Gabizon, um criptografista que trabalha para a Zcash Company e o responsável por encontrar o bug;  Sean Bowe, amigo de Gabizon que confirmou o bug; Zooko e Nathan Wilcox, CEO e CTO da Zcash Company.

Toda a paranoia sobre o segredo do problema veio do fato do Zcash ser uma criptomoeda com base na privacidade e com um protocolo altamente avançado. O protocolo também é usado pela JPMorgan Chase, uma das  maiores sociedades gestoras de participações sociais incorporada do mundo.

Porém, o medo de perder parceiros comerciais não foi a única coisa que fez os quatro desenvolvedores da Zcash manterem o segredo. A falha tinha consequências perigosas e poderia ser explorada para inundar o ecossistema do Zcash com valores criados através do bug. Isso destruiria o ecossistema de cripto para sempre.

Para evitar que qualquer criminoso explorasse a falha antes da correção, o segredo sobre o bug foi mantido a sete chaves. Os desenvolvedores até mesmo deletaram uma transcrição de protocolo MPC, um arquivo que poderia ser usado para criar o código de exploit.

Quando foram perguntados sobre o arquivo desaparecido do servidor, os líderes da Zcash disseram que ele desapareceu por acidente.

O problema, que foi inicialmente descoberto no dia 1 de março, foi corrigido apenas em outubro, quando a Zcash trocou o código defeituoso por algoritmos matemáticos avançados.

Mesmo com o problema corrigido o time não passou informações sobre a vulnerabilidade imediatamente. Eles primeiro notificaram outras criptomoedas que usam o código (como a Horizen e Komodo). Os detalhes completos foram liberados apenas hoje, meses depois do lançamento da atualização.

Veja também: Discretamente, Facebook faz sua primeira aquisição de Blockchain