Errores de negación de gasto e inflación encontrados en varias criptomonedas
Un equipo de académicos identificó un problema con el protocolo de Zerocoin, junto con dos fallos de seguridad en libzerocoin, la biblioteca de software utilizada para construir criptomonedas reales alrededor del protocolo.
Los investigadores dijeron que descubrieron que estos tres problemas afectan al menos a cinco criptomonedas basadas en Zerocoin, cada una en diferentes grados. Los cinco criptomonedas afectadas son SmartCash, Zoin, Zcoin, Hexxcoin y PIVX.
El equipo de cuatro académicos de la Universidad de Saarland y la Friedrich-Alexander-Universität Nürnberg-Erlangen en Alemania, han publicado sus hallazgos en un documento de investigación titulado "Burning Zerocoins for Fun and for Profit".
El problema de la denegación de gastos
Según los investigadores, el protocolo de Zerocoin se ve afectado por un problema de denegación de gasto que permite a los atacantes detener la transacción legítima de la víctima y emitir una operación de "gasto" antes de la solicitud legítima. Esto da como resultado la aprobación del "gasto" del atacante y el rechazo de la transacción legítima, que está marcada como una operación/error/ataque de "doble gasto".
Los investigadores dicen que este problema de esquema de protocolo afecta a SmartCash, Zoin, Zcoin, Hexxcoin y PIVX. Tres de los cinco (PIVX, SmartCash y Hexxcoin) han desactivado el protocolo Zerocoin dentro de su código fuente de su criptomoneda respectiva, después de la divulgación de este problema.
El resultado inmediato de tal acción fue que todas las altcoins minadas a través del protocolo Zerocoin se atascaron en las billeteras de los usuarios.
El equipo de SmartCash les dijo a los investigadores que tenían la intención de reembolsar a los propietarios de las monedas no gastadas, mientras que los equipos Hexxcoin y PIVX dijeron que planean volver a habilitar el soporte de Zerocoin una vez que se haya resuelto el problema.
Los investigadores dijeron que Zoin y Zcoin siguen siendo vulnerables al problema del protocolo Zerocoin, y recomendaron que los usuarios no gasten fondos hasta que el problema que descubrieron sea solucionado, aunque para explotar tal fallo requeriría que un atacante obtenga una posición de red capaz de interceptar las transacciones de "gasto" de la víctima.
Los dos problemas de libzerocoin
Además de los problemas en el protocolo en sí, los académicos también encontraron dos problemas que afectan libzerocoin, una biblioteca C++ de prueba de concepto para implementar el protocolo Zerocoin.
Aquí, los investigadores encontraron un error de "inflación" que permitía a un atacante generar nuevas monedas y un problema donde la biblioteca firmaba transacciones incorrectamente.
Estos dos errores afectaron las monedas de Zcoin, SmartCash, Zoin y Hexxcoin, pero según los investigadores, se han corregido después del informe inicial.
Zerocoin es un viejo protocolo para comenzar
Los tres problemas no son sorprendentes, ya que el protocolo de Zerocoin y la biblioteca de libzerocoin han quedado en blanco durante años.
El protocolo Zerocoin ha sido reemplazado por el protocolo Zerocash que ahora impulsa la criptomoneda Zcash, mientras que la biblioteca libzerocoin ha sido abandonada y ha presentado advertencias de seguridad grandes y audaces en su archivo README durante años, que también han llegado a Zoin, Zcoin, Proyectos de SmartCash y Hexxacoin.
Para empezar, los usuarios no deberían invertir en tecnología desactualizada, y como el equipo académico recomienda razonablemente: "no utilicen bibliotecas que tengan grandes advertencias de seguridad audaces".