Un fallo en el software legacy podía permitir la inserción de transacciones inválidas, aunque nunca fue explotado
Un bug crítico detectado con ayuda de IA
El ecosistema de Zcash ha solucionado una vulnerabilidad crítica que afectaba al pool blindado Sprout, una parte ya obsoleta de la red. El fallo fue descubierto por el investigador Alex “Scalar” Sol mediante análisis asistido por inteligencia artificial.
El problema fue reportado el 23 de marzo y corregido en menos de 24 horas por el equipo de desarrollo, con despliegue completo en los principales pools de minería antes del 26 de marzo.
El origen del fallo en la validación de bloques
La vulnerabilidad se remontaba a una optimización introducida en 2020 que afectaba la verificación de pruebas criptográficas de Sprout durante la validación de bloques.
En determinadas condiciones, el sistema marcaba bloques como válidos antes de verificar completamente estas pruebas, lo que abría la puerta a que un minero malicioso pudiera incluir transacciones inválidas directamente en la cadena.
Sin impacto en fondos ni en el suministro
A pesar de la gravedad técnica, los desarrolladores confirmaron que el fallo nunca fue explotado. El diseño del sistema, junto con mecanismos como el “turnstile”, habría impedido la inflación del suministro total de ZEC incluso en un escenario de ataque.
Actualmente, el pool Sprout contiene alrededor de 25.424 ZEC, dentro de un suministro total cercano a los 16,63 millones.
Protección adicional y rol de Zebra
El nodo alternativo Zebra, activo en mainnet desde 2023, no estaba afectado por esta vulnerabilidad. En caso de explotación, habría provocado una bifurcación hacia una cadena válida, actuando como capa adicional de seguridad para la red.
Recompensa y debate sobre eliminar Sprout
El investigador recibió una recompensa total de 200 ZEC por su divulgación responsable. Tras este incidente, la comunidad ha reactivado el debate sobre eliminar completamente el pool Sprout, ya que lleva descontinuado desde 2020 y representa una superficie de ataque innecesaria.
Conclusión
El incidente refuerza la importancia de auditar continuamente incluso componentes legacy en redes blockchain. Aunque no hubo impacto real, el caso evidencia cómo la seguridad en protocolos maduros depende tanto de revisiones constantes como de la colaboración entre desarrolladores y comunidad.
