Blockchain podría ser hackeado?

Blockchain podría ser hackeado?

Cada vez más a menudo, salen a la luz noticias de piratería o exposición de información personal. Cada vez más, aquellos a quienes hemos confiado las claves de nuestros datos revelan que están haciendo un uso incorrecto de esos datos y traicionando nuestra confianza. Cada vez es más claro que los sistemas centralizados que nos han llevado hasta aquí no serán suficientes para protegernos para seguir adelante.

La tecnología Blockchain promete resolver estos problemas al eliminar la confianza que implica el almacenamiento y acceso a nuestro contenido digital. Al mover los datos a los bordes de la red y emplear una fuerte criptografía para mantener el control individual sobre los datos, las cadenas de bloques pretenden devolver el poder a los usuarios finales y a los creadores de los datos, no a las manos (claramente torpes) del plataformas que utilizamos para compartir los datos.

Blockchains no son del todo inmunes

Sin embargo, por poderosos que sean los blockchains, no son inmunes al ataque. Cualquier tecnología tiene puntos débiles y vectores de ataque, y la cadena de bloques no es una excepción. Aquí exploraremos los diversos vectores de ataque (en orden creciente de amenaza) y veremos algunos ejemplos de cada uno de la corta pero emocionante historia de la criptomoneda hasta el momento.

Sybil Attack

Un ataque de Sybil es un ataque en el que una gran cantidad de nodos en una sola red son propiedad de la misma parte e intentan interrumpir la actividad de la red al inundar la red con malas transacciones o manipular la retransmisión de transacciones válidas.

Estos ataques son teóricos hasta ahora y, en su mayor parte, nunca se podrán ver, ya que una de las decisiones fundamentales de diseño tomadas al desarrollar un sistema de criptomonedas es cómo prevenir los ataques de Sybil.

Bitcoin los previene a través de su algoritmo de prueba de trabajo, que requiere que los nodos gasten recursos (en forma de energía) para recibir monedas, lo que hace que la posesión de la gran mayoría de los nodos sea muy costosa. Diferentes proyectos manejan la resistencia Sybil de forma diferente, pero casi todos lo manejan.

Ataque de enrutamiento

Un ataque de enrutamiento es un ataque posible gracias al compromiso o la cooperación de un proveedor de servicios de Internet (ISP). Si bien es técnicamente posible ejecutar un nodo Bitcoin (u otras monedas) en cualquier lugar del mundo, la realidad actual es que los nodos están relativamente centralizados en este momento en términos de los ISP que transportan el tráfico de Internet hacia y desde.

Según una investigación realizada por ETHZurich, 13 ISP alojan el 30% de la red de Bitcoin, mientras que 3 ISP enrutan el 60% de todo el tráfico de transacciones para la red. Este es un punto importante de falla si un ISP se comprometiera a corromperse.

Un ataque de enrutamiento funciona interceptando el tráfico de Internet que se envía entre los Sistemas Autónomos, nodos de nivel superior en la arquitectura de Internet, de los cuales hay pocos suficientes para interceptar con relativa facilidad. Este es un fenómeno que se ve comúnmente, incluso a diario, en Internet en la naturaleza y que sin duda puede usarse contra Bitcoin u otro tráfico de criptomonedas.

Con este método, una red criptomoneda se puede dividir en dos o más redes separadas, exponiendo ambos lados de la partición a ataques de doble gasto porque no pueden comunicarse con toda la red para validar las transacciones. Una vez que las monedas se gastaron en un lado de la red y se recibieron los bienes o servicios, la partición podría eliminarse y el lado de la red con la cadena más corta sería rechazado por la red como un todo y esas transacciones se anularían.

Hasta donde sabemos, este tipo de ataque no se ha producido, y hay pasos que se pueden tomar para que las monedas sean inmunes a este comportamiento.

Denegación Directa de Servicio

Un ataque directo de denegación de servicio (DDoS) es un intento de los malos actores de paralizar un servidor, desde un sitio web hasta un nodo de Bitcoin, inundándolo con grandes volúmenes de tráfico. Este es definitivamente uno de los ataques más comunes que se ven en la naturaleza, ya que es relativamente fácil comprar un ataque DDoS de cualquier cantidad de “hackers” o firmas de mala reputación por ahí.

En el caso de un sitio web, esto parece un enorme volumen de solicitudes al servidor que se envía continuamente durante un período de tiempo, lo que impide que las solicitudes legítimas reciban los recursos que necesitan. En el caso de un nodo de Bitcoin, parece que se envían grandes volúmenes de transacciones pequeñas o no válidas en un esfuerzo por inundar la red y evitar el procesamiento de transacciones legítimas.

Las principales redes como Bitcoin son constantemente atacadas por los intentos de DDoS, pero las decisiones de diseño tomadas en el desarrollo de la red Bitcoin actúan para mitigar el riesgo de intentos de DDoS. Frente a un ataque DDoS exitoso, no hay amenaza de fondos robados o seguridad comprometida, simplemente una interrupción de la actividad de la red.

Blues del Backlog de Bitcoin

Sin embargo, aunque no es un riesgo para la seguridad, esta interrupción del servicio se puede utilizar para otras agendas. Hay algo así como una saga en lo que respecta a las transacciones de “spam” (DDoSing la red con muchas transacciones) y Bitcoin que se desarrolló entre 2015 y 2017.

En junio de 2015, Coinwallet.eu (una ahora desaparecida compañía de billeteras) llevó a cabo una ” prueba de estrés ” de la red de Bitcoin al enviar miles de transacciones en la red en un esfuerzo por influir en el controvertido debate sobre el cambio de tamaño de bloque que se estaba desatando esa vez, indicando en su publicación del anuncio que se propusieron “para dejar claro el aumento del tamaño del bloque al demostrar la simplicidad de un ataque de spam a gran escala en la red”.

Un mes después, en lo que se denomina el “ataque de inundación”, 80,000 pequeñas transacciones se enviaron simultáneamente a la red de Bitcoin, creando una acumulación masiva que fue eliminada solo por los esfuerzos de F2Pool, una de las mayores agrupaciones mineras en ese momento, que dedicó un bloque completo para combinar todas las transacciones de correo no deseado y borrarlas.

En el transcurso del próximo año, según el análisis de LaurentMT, el creador de la herramienta de análisis Bitcoin OXT, se enviaron muchos miles o incluso millones de transacciones de correo no deseado (en su mayoría pequeñas transacciones inútiles que no podrían haber sido legítimas), obstruyendo el backlog de Bitcoin UTXO, pero estas transacciones fueron en su mayoría ignoradas por los principales grupos de minería.

De repente, en el segundo semestre de 2016 y casi al mismo tiempo, los principales grupos de minería del momento comenzaron a aceptar estas transacciones de correo no deseado en bloques, lo que redujo el rendimiento de las transacciones legítimas justo cuando el debate del tamaño de bloque subía de nuevo y muchos de las piscinas se rumoreaba que estaban del lado de los “grandes bloqueadores” sobre los pequeños bloqueadores.

Desde entonces, la red de Bitcoin ha despejado este retraso y sigue avanzando, mientras que los fanáticos del bloque han centrado su atención en Bitcoin Cash, un proyecto que Jihan Wu (fundador de Bitmain, el mayor propietario de Bitcoin tiene hasta ahora) es totalmente compatible con . Haz tu propia investigación.

51% o ataque mayoritario

Dado que la seguridad de una cadena de bloques está directamente relacionada con la potencia de la computadora que está construyendo la cadena, existe la amenaza de que un atacante obtenga el control de la mayoría de la energía de hash en la red. Esto le permitiría al atacante explotar los bloques más rápido que el resto de la red combinada, abriendo la puerta al ‘doble gasto’.

LEER  Oracle está listo para lanzar su producto basado en Ledger.

El gasto doble es un método de defraudar una criptomoneda que implica enviar transacciones a la cadena, recibir el bien o servicio que paga la transacción y, posteriormente, utilizar la mayoría de los recursos hash para bifurcar la cadena de bloques en un punto anterior a la transacción. Esto efectivamente borra esa transacción del historial de la cadena, lo que permite al atacante realizar transacciones con esas mismas monedas por segunda vez.

La obtención de una mayoría de hashpower no permitiría a un atacante crear monedas, acceder a direcciones o comprometer la red de ninguna otra forma, lo que limita el daño que este método permite. El efecto más grande de tal ataque bien puede ser la pérdida de confianza en la red que es atacada, y una posterior caída en picado del precio de los activos de cualquier token en la red.

Este tipo de ataque mayoritario es muy costoso de lograr, y como resultado, en realidad, solo las monedas relativamente pequeñas y de bajo poder de ataque son susceptibles a este vector de ataque. Las monedas principales como Bitcoin tienen poco que temer de un 51% de ataque debido al hecho de que cualquier atacante con la gran mayoría de hashpower tendría más incentivos para simplemente extraer todos los bloques y recibir Bitcoin antes que intentar un ataque, especialmente considerando el precio de su Bitcoin robado colapsaría si se conociera la noticia de un ataque.

51% en estado salvaje

Uno de los ejemplos más interesantes de un 51% de ataques en la naturaleza es cortesía de un grupo de piratas informáticos que se autodenominaron “Crew 51”. En la segunda mitad de 2016, la tripulación 51 comenzó a retener pequeños clones de Ethereum en busca de rescate, aprovechando sus bajas tasas de hash y la distribución minera centralizada para alquilar hardware suficiente para arrinconar la red.

Afirmando que “su intención no es destruir un proyecto” y lo estaban haciendo solo para ganar dinero, exigieron Bitcoin a cambio de cerrar su operación y dejar los proyectos en paz. Si no se cumplían las demandas, bifurcaban la cadena de bloques de la moneda a un punto anterior a las grandes ventas que la tripulación ya había realizado en los intercambios.

Los proyectos en cuestión, Krypton (ahora difunto) y Shift (todavía se negocian en pequeño volumen), ambos se negaron a pagar el rescate y posteriormente se bifurcaron sus blockchains. Los equipos del proyecto se apresuraron a apuntalar la descentralización de la red y hacer cambios en los protocolos para evitar tales abusos, pero no antes de ser un éxito.

Vulnerabilidades Criptográficas

Los ataques descritos hasta ahora tratan principalmente en el ámbito del doble gasto o la reducción en el servicio de red. Los ataques son costosos de lograr y se corrigen rápidamente con las características de auto reparación de la red. Si bien pueden ser amenazas reales a la confianza en una criptomoneda y dar como resultado una pérdida mínima de fondos, son relativamente pequeñas.

Al igual que con cualquier sistema o red informática, el vector de ataque más grande es el error humano. Las principales pérdidas de fondos vistas hasta ahora en cryptoland son el resultado de errores en el software de la moneda en sí. Los errores criptográficos en la seguridad de las criptomonedas dejan agujeros de seguridad que pueden ser descubiertos y explotados por hackers sofisticados para socavar un proyecto.

El DAO

Tal vez el ejemplo más visible de un truco habilitado a través de un código de mala calidad es el infame hack Ethereum DAO, tan malo que generó una criptomoneda completamente nueva y persigue el proyecto Ethereum hasta el día de hoy.

La DAO (Organización Autónoma Descentralizada) era una organización sin líderes construida sobre Ethereum utilizando contratos inteligentes. La idea era brindarle a cualquier persona la posibilidad de invertir en la empresa y votar en los proyectos que deseaba financiar, todo administrado de forma segura y automática mediante el código de contrato inteligente de DAO.

Si invirtió en el DAO (al comprar tokens DAO) y luego decidió retirarse, existió un mecanismo para que le devolvieran su Ethereum a cambio de sus tokens DAO. Este es el mecanismo llamado ‘Split Return’ que fue explotado por un DAOist pionero el 17 de junio de 2016.

El Split Return es un proceso de dos pasos: devuelve la cantidad adecuada de Ethereum al token holder activando el retorno, luego toma los tokens y registra la transacción en el blockchain para actualizar el equilibrio del token DAO. El pirata informático desconocido se dio cuenta de que podía engañar al sistema para que repitiera el primer paso sin moverse al segundo, lo que le permitía extraer $ 50 millones de Ethereum del DAO y convertirlo en un DAO separado controlado solo por el atacante.

Esto obviamente inflamó a la comunidad Ethereum, y se hizo un plan para suavizar y recuperar los fondos. Un tenedor suave habría sido mínimamente invasivo, compatible con versiones anteriores y simplemente ‘borrado’ del DAO pirateado de la cadena de bloques. Una vez que se hizo el plan, sin embargo, se supo que no volaría y que sería necesario un tenedor duro. Esto fue controvertido y resultó en la creación de Ethereum Classic (ETC), una continuación de la cadena original de Ethereum con el truco de DAO en su lugar, y Ethereum (ETH), el proyecto bifurcado recientemente duro que continuó a DAO otro día.

La verdadera amenaza son los usuarios, no los hackers

La tecnología de Blockchain es robusta y prometedora, e incluso con todos estos enfoques de posible ataque, muy pocos ataques exitosos han pasado a la historia. Sin embargo, esto no ha impedido que grandes cantidades de dinero sean robadas a los usuarios.

Si bien la seguridad de la mayoría de las criptomonedas permanece intacta, la seguridad de las billeteras, los intercambios y las cuentas de los servicios de terceros en torno a estas criptomonedas sigue siendo ridículamente mala. Millones y millones de dólares en Bitcoin y otras criptomonedas han sido robadas de las cuentas comprometidas de personas e intercambios a lo largo de los años.

Si bien los ataques descritos anteriormente son en su mayoría teóricos y se defienden activamente, el agujero evidente en la seguridad de Bitcoin y de cualquier otra criptomoneda es el hecho de que los humanos no son tan buenos para prestar atención y estar atentos. Reutilizar contraseñas, ser víctima de estafas de phishing, operadores de sitios web descuidados y empleados de intercambio negligentes siguen siendo el punto de falla más peligroso cuando se trata del estado de la cripto economía.

A medida que avanzamos, bien puede haber algunos ataques de nivel blockchain perpetrados. Estos pueden provenir de grandes poderes como los gobiernos o las empresas que se dedican a controlar o socavar estos nuevos y prometedores medios de almacenamiento y transferencia de riqueza y valor. A la larga, sin embargo, ataques como estos solo actuarán para fortalecer y evolucionar la tecnología para ser más resistentes y robustos.

Pero mucho más que esto, habrá que dar pasos agigantados en la facilidad de uso y la seguridad de los productos criptográficos del consumidor antes de que pueda ocurrir una adopción real. Mientras uno accidentalmente comparta una contraseña o una computadora portátil abierta puede significar la pérdida de los ahorros de su vida, no podemos ingresar a un mundo ejecutado en cifrado.

Fuente:  Coincentral

Déjanos conocer tu opinión