Los ataques a la blockchain de Verge merecen un segundo análisis

0

El notorio ataque del 51% es la falla principal en los protocolos de las criptomonedas. Pero rara vez ocurre, especialmente entre las criptomonedas más populares.

Sin embargo, en los últimos dos meses, el exploit – cuando un minero o un grupo de mineros toma el control de más de la mitad del poder total de la red y doblega las reglas del protocolo a su favor– se ha visto dos veces. Y en la misma blockchain.

De hecho, Verge, una criptomoneda orientada a la privacidad recientemente impulsada por la alianza con el popular sitio de entretenimiento para adultos Pornhub, sufrió dos hacks perpetrados a través de ataques del 51%. Los atacantes desaparecieron con millones de dólares en su criptomoneda XVG.

Durante el primer ataque en abril –solo un par de semanas antes de la sociedad con Pornhub–, el hacker pudo escaparse con 250,000 XVG. Y durante la última mitad de mayo, un atacante logró retirar del protocolo USD$1,7 millones en la criptomoneda.

Según los investigadores, los exploit son el resultado de alteraciones simples en el código subyaciente sobre el cual generalmente se basan los protocolos de las criptomonedas y la dificultas de poder predecir qué consecuencias involuntarias surgirán de esos cambios.

Claro, los desarrolladores de Verge solo intentaban diseñar una mejor criptomoneda para los pagos, pero ajustando parámetros pequeños, por ejemplo el tiempo en el que un bloque puede ser válido, el grupo ha hecho a su cadena de bloques propensa a ataques.

“Conseguir incentivos correctos y mantenerlos así es difícil”, dijo el profesor asistente del Imperial College London y fundador de Liquidity Network, Arthur Gervais.

Es decir, las blockchains se basan en incentivos precariamente combinados para que todas las partes interesadas trabajen en conjunto hacia un objetivo común, como eliminar la posibilidad de que una entidad tome el control total.

“Obviamente, las cosas no se ven bien”, dijo Daniel Goldman, gerente de tecnologías del sitio de análisis de criptomonedas The Abacus, que ha estado rastreando los ataques. “Los problemas que inicialmente se deslizaron en la base del código fueron el resultado de un completo descuido: incorporar código desde un software de código abierto sin comprender sus implicaciones”.

Goldman agregó, “odio decirlo, pero si lo tuviera que resumir, el atacante está haciendo mejor trabajo que los desarrolladores. Yo trataría de atraparlo en sus zapatos”.

Desarrolladores de blockchain veteranos –incluyendo el creador de Litecoin, Charlie Lee y el desarrollador principal de Monero, Riccardo Spagni– han argumentado durante mucho tiempo que los ajustes que hizo la plataforma tienen desventajas obvias. Tales detractores, que han sido fácilmente atacados por un grupo de entusiastas que se llaman a sí mismos “Ejército Verge” se sienten reivindicados.

“Hay tantas lecciones importantes que aprender de esto”, tuiteó el analista de investigación de inversiones de Fidelity, Nic Carter, resumiendo el estado que se encuentra el desarrollo de Verge.

Los representantes del equipo desarrollador de Verge no emitieron ningún comentario por la solicitud que CoinDesk hizo para éste artículo.

El problema

Una de esas lecciones, es que hay razones por las cuales el intervalo de tiempo en que una transacción puede ser validada es limitado de manera bastante estricta.

Mientras que las transacciones de bitcoin sólo son válidas durante unos 10 minutos antes de que se verifiquen en una blockchain, los desarrolladores de Verge extendieron esa ventana a dos horas. Y debido a que existe cierta asimetría de información en los sistemas de blockchain porque los nodos están repartidos en todo el mundo, el atacante pudo falsificar registros de tiempo en los bloques sin que se notara, de acuerdo con la publicación ampliamente distribuida por Goldman.

Pero no fue solo eso. Otro pieza clave para que surjan los ataques fue el complicado algoritmo de Verge.

Verge usa el algoritmo Dark Gravity Wave para ajustar automáticamente la rapidez con que los mineros encuentran bloques. En Verge, esto sucede cada dos horas. En comparación con Bitcoin que se ajusta cada dos semanas, el algoritmo de Verge es bastante rápido.

Los registros de tiempo falsos, junto con el algoritmo de ajuste rápido, ocasionaron que “trágicamente confundan el algoritmo del protocolo de ajuste para la minería”, como lo expresó Goldman.

O dicho de otra manera, el atacante minó hábilmente los bloques con marcas de tiempo falsas, forzándo a la dificultad de la criptomoneda para ajustarse más rápido y eso facilitó al atacante extraer aún más XVG.

Cuando se produjo el primer ataque, los desarrolladores de Verge lanzaron rápidamente un parche, lo que impidió que el atacante imprimiera más dinero. Sin embargo, con el ataque del mes pasado, parece que el parche solo ayudó temporalmente y el atacante encontró otra manera de ejecutar el mismo truco, mostrando lo difícil que puede ser diseñar un sistema de distribución que no sea vulnerable a los ataques.

Y siguen los ataques

De acuerdo a Goldman, los problemas para Verge probablemente no han terminado. “Se realizó un ataque y probablemente se continúe intentando. Hasta ahora, sin embargo, el atacante no ha logrado tomarse la red”, dijo Goldman. “Tal como está ahora, en mi opinión, dos de las tres fuentes fundamentales de vulnerabilidades se han mitigado en el mejor de los casos, y una permanece sin corregir”.

Si bien no se robaron XVG directamente de los usuarios, se supone que los mineros de la red no pueden cambiar las reglas de esta manera, extrayendo dinero para una sola persona en tan poco tiempo.

Por lo tanto, los desarrolladores de Verge están trabajando activamente para mejorar el código. Después de un período de poca comunicación por parte de los desarrolladores de Verge, CryptoRekt, el seudónimo del autor del “papel negro”, escribío en Reddit el 31 de mayo que el equipo “nunca haría intencionalmente nada para ensuciar o perjudicar este proyecto”. Agregó que el desarrollador del proyecto ha estado trabajando en un nuevo código por “varias semanas” para “solidificar nuestra moneda contra cualquier ataque futuro”.

Sin embargo, Goldman cree que hay otro problema. A diferencia de muchos de los proyectos de criptomonedas que existen hoy en día, que se basan en códigos de código abierto, la base de código de Verge se construye en privado y no será evaluada por la comunidad de expertos de blockchain, quienes podría ayudar al equipo a encontrar vulnerabilidades.

“Dado que incorporar el código sin someterlo responsablemente a escrutinio fue lo que llevó a todo esto, la comunidad de Verge debería estar preocupada”, escribió en Twitter.

¿El futuro de Verge?

Hasta ahora, gran parte de la comunidad de Verge sigue apoyando al equipo de desarrolladores y la misión de la criptomoneda.

El usuario de Verge con el pseudónimo Crypto Dog afrimó que “no hay necesidad de entrar en pánico”, alegando que el éxito de Verge continuará sin importar qué suceda. Y CryptoRekt eligió verlo como una experiencia de aprendizaje, una que ayudaría a Verge a “construir un proyecto más grande y mejor”.

De todas maneras, este ataque se ve mal, no solo en Verge, sino también en las organizaciones que se han asociado con el equipo de Verge, incluyendo a Pornhub. Especialmente desde que el vicepresidente de Pornhub, Corey Price, comunicó que se eligió a Verge como método de pago para el sitio en un “proceso de selección muy deliberado” para preservar la privacidad financiera de sus clientes.

Así mismo, algunos desarrolladores creen que este episodio traerá un mayor sentido de responsabilidad para muchas organizaciones en el sentido de analizar adecuadamente una blockchain antes de adoptarla.

“No me sorprendería que exista un mayor escrutinio en el futuro cercano, lo que llevaría a más ataques ya que los inversionistas califican con mayor precisión la propuesta de valor de los proyectos de altcoin más pequeños”, dijo el ingeniero de BitGo, Mark Erhardt.

Agregó que “la ausencia de un ataque no es una prueba de que un sistema sea seguro. Muchos proyectos de altcoin parecen tomar atajos inseguros, solo que nadie se ha molestado en explotar estos defectos sistémicos o debilidades”. Por ende, Verge puede ser el primero en una larga lista de futuros exploits.

Mientras que los ataques del 51% se consideraban difíciles de ejecutar, Gervais de Liquidity Network argumentó que los nuevos datos parecen mostrar que es más fácil de lo que se pensaba. Señaló una nueva aplicación web, 51crypto, que rastrea qué tan rentable es ejecutar un ataque del 51% en varias blockchains.

Lo que comprueban las estadísticas es que, cuanto más pequeña es la cadena de bloques, más fácil es superarla y flexibilizar las reglas, por lo que los desarrolladores deben ser especialmente cuidadosos en la forma en que diseñan sus sistemas. “Si un ataque tiene más sentido económico que un procedimiento honesto, los atacantes estarán allí”, concluyó Gervais.

La versión original en inglés escrita por Alyssa Hertig se publicó en CoinDesk

¿Te gustó el artículo? ¡Puedes apoyar a Héctor Ruilova en Patreon!

Deje un Comentario

Su correo electrónico no será publicado.