La herramienta de recuperación ZK de Cardano completa la reclamación total de un monedero en la Preview testnet
Un repositorio público bajo la cuenta de GitHub de Charles Hoskinson documenta un sistema de recuperación integral para activos rescatados de monederos de Cardano comprometidos. El contrato de Plutus V3 ha verificado una prueba de propiedad de conocimiento cero y ha liberado cinco ADA de prueba a un monedero nuevo sin exponer la frase de recuperación del usuario.
By SongMarketCap
La herramienta de recuperación de conocimiento cero de Cardano ha completado una reclamación total en la Preview testnet, transfiriendo activos desde un contrato de custodia tras confirmar que el reclamante controlaba la semilla maestra original.
La versión de código abierto incluye el circuito criptográfico, un probador local, el validador de Plutus V3, trabajo de verificación formal, transacciones de prueba y una interfaz prototipo llamada ReclaimGlobal. Amplía un experimento previo divulgado por Charles Hoskinson en un flujo de recuperación públicamente revisable con resultados en cadena operativos.
El repositorio ganó atención adicional después de que el desarrollador Phil destacara su arquitectura, documentación y sistema de pruebas. Hoskinson posteriormente volvió a difundir la evaluación.
ReclaimGlobal vincula la propiedad del monedero con los activos rescatados
ReclaimGlobal está diseñado para incidentes en los que los activos ya han sido retirados de credenciales comprometidas y colocados dentro de un contrato de recuperación.
Un usuario afectado conecta el monedero comprometido en modo de solo lectura, genera localmente una prueba de propiedad y selecciona un monedero nuevo para recibir los activos. La frase de recuperación permanece en el dispositivo del usuario y no se envía al contrato, al operador de recuperación ni a un servidor externo.
Un flujo de bloqueo separado permite a un operador, rescatista o donante depositar activos en un UTxO de Cardano vinculado al propietario. Los fondos solo pueden ser reclamados por un usuario capaz de demostrar que la credencial de pago afectada fue derivada de la semilla maestra correspondiente.
La herramienta no está destinada a usuarios que han perdido su frase de recuperación. El reclamante debe seguir controlando la semilla original, y los activos deben estar primero asegurados dentro de la estructura de custodia. Los fondos ya transferidos más allá de ese proceso de recuperación no pueden ser recuperados por el contrato.
El repositorio describe un incidente que involucró aproximadamente 8,823 credenciales de pago afectadas. Su explicación técnica afirma que las frases de recuperación, semillas maestras y códigos de cadena no fueron expuestos. En su lugar, las claves de firma derivadas se vieron comprometidas debido a una falla de nonce determinista en el firmador de transacciones.
Como las credenciales individuales del monedero se derivan de un secreto maestro mediante operaciones unidireccionales, una clave derivada robada puede permitir la firma no autorizada de transacciones sin revelar la semilla original. El sistema de recuperación utiliza esa distinción para separar al propietario legítimo del monedero de un atacante que solo posee la credencial comprometida.
Plutus V3 verifica la propiedad sin revelar la semilla
La prueba de propiedad se genera localmente mediante un sistema de pruebas Groth16 que opera sobre la curva BLS12-381. La prueba resultante tiene 336 bytes, mientras que el circuito subyacente contiene aproximadamente 3.45 millones de restricciones.
El entorno Plutus V3 de Cardano verifica la prueba antes de que el contrato de custodia libere cualquier activo. La frase de recuperación del reclamante, las claves privadas y la ruta de derivación completa no se publican en cadena.
La nueva credencial de destino está vinculada criptográficamente a la prueba. Un observador no puede copiar la transacción y reemplazar la dirección de recepción porque cambiar el destino invalida la reclamación.
El validador también confirma que el pago solicitado coincide con el derecho almacenado en el datum de custodia. Condiciones adicionales impiden que el contrato se pague a sí mismo o que devuelva los activos a la credencial comprometida.
Se completaron dos hitos iniciales en la Preview testnet. En el primero, cinco ADA de prueba se bloquearon detrás de una puerta de verificación y se liberaron después de que el nodo aceptó una prueba válida. Una segunda transacción que usaba la misma prueba con un byte modificado fue rechazada.
El flujo de recuperación completo se probó luego a través del validador de custodia completo. Se depositaron cinco ADA de prueba, se generó una prueba para un monedero de destino recién creado, y el contrato verificó la propiedad, el derecho y el vínculo de destino antes de liberar los activos.
Una reclamación posterior añadió más protecciones, incluida una regla que impide el pago de vuelta a la credencial afectada y un mecanismo basado en tickets para rastrear reclamaciones gastadas. La transacción se liquidó dentro de los límites de ejecución de Cardano.
El repositorio también incluye pruebas en Lean 4 que cubren la lógica de decisión del validador, junto con especificaciones técnicas, código del circuito y varias rondas de revisión. Permanece abierta una conexión formal entre el sistema completo de restricciones R1CS y la relación de testigo canónica, incluidos los componentes SHA-512 y Ed25519.
El uso en mainnet requiere controles adicionales de seguridad y gobernanza
ReclaimGlobal opera actualmente como un prototipo en la Preview testnet, con varias salvaguardas de producción aún en desarrollo.
La clave de verificación utilizada en la implementación existente se produjo mediante una configuración de confianza de un solo operador. El repositorio afirma que este modelo es adecuado para el desarrollo en testnet pero no para un sistema responsable de activos reales de usuarios.
Groth16 requiere un proceso de configuración estructurado para crear las claves de prueba y verificación. Un participante que conserve todo el material secreto de la configuración podría, en teoría, fabricar pruebas inválidas que aun así pasen la verificación.
El modelo de producción propuesto por lo tanto utiliza una ceremonia multipartita en la que contribuyentes independientes agregan su propia aleatoriedad y destruyen sus secretos individuales. El repositorio describe un proceso que implica aleatoriedad pública, una transcripción de contribuciones publicada y verificación independiente de la ceremonia completada.
También permanecen sin resolver los controles operativos. La documentación identifica la necesidad de definir quién crea la lista de elegibilidad, cómo pueden verificarse de forma independiente los montos asignados y cómo se protegen los activos en custodia mientras se procesan las reclamaciones.
El trabajo futuro incluye completar el sistema en cadena de estado gastado y anuladores, fortalecer las protecciones de codificación, convertir el prototipo en una aplicación CIP-30 de producción y encargar una auditoría externa completa del circuito, el contrato y la ceremonia de configuración.
Las transacciones en Preview han establecido que Cardano puede verificar una prueba de propiedad con múltiples millones de restricciones y completar el pago de recuperación dentro de una sola transacción. Avanzar el sistema hacia producción ahora depende de eliminar la confianza en un único operador y de establecer reglas transparentes para la custodia, la elegibilidad y la autorización de reclamaciones.