Los ataques a la cadena de bloques de Verge merecen una segunda mirada seria

El famoso ataque del 51 por ciento: es la principal falla en los protocolos de Criptomonedas , pero rara vez se ve, especialmente entre las criptomonedas más populares.

Sin embargo, en los últimos meses, el exploit —mediante el cual un solo minero (o grupo de mineros) toma el control de más de la mitad de la potencia computacional total de la red y puede manipular las reglas del protocolo a su favor— se ha visto dos veces. Y en la misma blockchain.

De hecho, Verge, una Criptomonedas orientada a la privacidad, recientemente saltó a la fama. por una sociedad con el popular sitio de entretenimiento para adultos Pornhub, sufrió dos ataques perpetrados a través de ataques del 51 por ciento que vieron a los atacantes fugarse con millones de dólares en su Criptomonedas nativa, XVG.

Durante el primer ataque En abril (apenas un par de semanas antes de la asociación con Pornhub), el hacker logró hacerse con 250.000 XVG. Y, a mediados de mayo, un atacante logró extraer del protocolo 1,7 millones de dólares en Criptomonedas .

Según los investigadores, los exploits son producto de cambios simples en el código subyacente sobre el que generalmente se construyen los protocolos de Criptomonedas y los desafíos de poder predecir qué consecuencias no deseadas surgirán de esos cambios.

Claro, los desarrolladores de Verge solo estaban tratando de diseñar una mejor Criptomonedas para pagos, pero al ajustar pequeños parámetros, como el tiempo durante el cual un bloque puede ser válido, el grupo abrió su blockchain a ataques.

"Obtener incentivos adecuados y mantenerlos adecuados es difícil", dijo Arthur Gervais, profesor adjunto del Imperial College de Londres y fundador de Liquidity Network.

Es decir, las cadenas de bloques se basan en incentivos muy precariamente apilados, mediante los cuales todas las partes interesadas trabajan juntas hacia un objetivo común a fin de eliminar la posibilidad de que una entidad tome el control total.

"Obviamente, la situación no pinta bien", declaró Daniel Goldman, director de tecnología del sitio de análisis de Criptomonedas The Abacus, quien ha estado rastreando los ataques. "Los problemas que inicialmente se introdujeron en el código base fueron resultado de pura negligencia: incorporar código de otro software de código abierto sin comprender sus implicaciones".

Goldman agregó:

Odio decirlo, pero si tuviera que resumir: el atacante está actuando con mayor diligencia que los desarrolladores. Yo, en su lugar, intentaría robarle el control.

Y desde entonces los desarrolladores veteranos de blockchain, incluido el creador de Litecoin Charlie Lee y desarrollador principal de Monero Ricardo Spagni, han argumentado durante mucho tiempo que los tipos de ajustes que realizó la plataforma tienen desventajas obvias, estos detractores, que han sido fácilmente atacados por un grupo de entusiastas que se autodenominan "Verge Army", se sienten reivindicados.

"Hay muchas lecciones importantes que aprender de esto", tuiteó el analista de investigación de inversiones de Fidelity, Nic Carter.ResumiendoEl estado general del desarrollo de Verge.

Los representantes del equipo de desarrolladores de Verge no respondieron a una Request de comentarios de CoinDesk.

El problema

Una de esas lecciones es que hay razones por las cuales el período de tiempo en que una transacción puede ser válida está limitado de forma bastante estricta.

Por ejemplo, mientras que las transacciones de Bitcoin solo son válidas durante unos 10 minutos antes de ser verificadas en un bloque, los desarrolladores de Verge ampliaron ese plazo a dos horas. Y debido a la asimetría de información en los sistemas blockchain, dado que los nodos están dispersos por todo el mundo, el atacante pudo falsificar las marcas de tiempo vinculadas a los bloques sin que nadie se diera cuenta, según... La publicación de amplia circulaciónpor Goldman.

Pero no fue sólo eso; otra pieza de los ataques fue el algoritmo de dificultad de Verge.

Verge utiliza el algoritmo "Dark Gravity Wave" para ajustar automáticamente la velocidad con la que los mineros encuentran bloques. En Verge, esto ocurre cada dos horas; a diferencia de Bitcoin , que se ajusta cada dos semanas, el algoritmo de Verge es bastante rápido.

Las marcas de tiempo falsificadas combinadas con este algoritmo de ajuste rápido llevaron al problema de "confundir trágicamente el algoritmo de ajuste de minería del protocolo", como lo expresó Goldman.

O dicho de otra forma, el atacante extrajo inteligentemente bloques con marcas de tiempo falsas, forzando a que la dificultad de la criptomoneda se ajustara más rápidamente, lo que hizo más fácil para el atacante extraer aún más XVG.

Cuando ocurrió el primer ataque, los desarrolladores de Verge lanzaron rápidamente un parche que impidió que el atacante generara más dinero. Sin embargo, con el ataque del mes pasado, parece que el parche tuvo sus límites y el atacante encontró otra forma de ejecutar el mismo ataque, lo que demuestra lo difícil que puede ser diseñar un sistema distribuido que no sea vulnerable a los ataques.

Ataques continuos

Y según Goldman, es probable que los problemas de Verge no hayan terminado aún.

"Un ataque claramente fue -yTal vez todavía lo sea —Se está intentando. Sin embargo, hasta ahora, el posible atacante no ha logrado tomar el control de la red", declaró Goldman a CoinDesk.

Pero continuó:

"Tal como están las cosas ahora, dos de las tres (en mi Opinión) fuentes fundamentales de vulnerabilidad se han mitigado en el mejor de los casos, y una permanece completamente sin solucionar".

Si bien no se robaron XVG directamente de los usuarios, se supone que los mineros de la red no pueden doblar las reglas de esta manera, imprimiendo efectivamente dinero para una persona en un corto período de tiempo.

Por ello, los desarrolladores de Verge trabajan activamente para mejorar el código. Tras un período de escasa comunicación por parte de los desarrolladores de Verge, CryptoRekt, el autor seudónimo del informe técnico de Verge , tomó... a Reddit el 31 de mayo, diciendo que todo el equipo de Verge "nunca haría nada intencionalmente para manchar o dañar este proyecto".

Agregó que los desarrolladores del proyecto han estado trabajando en un nuevo código durante "varias semanas" para "solidificar nuestra moneda contra cualquier ataque futuro".

Sin embargo, Goldman cree que existe otro problema. A diferencia de muchos proyectos de Criptomonedas actuales, que se basan en código abierto, el código base de Verge se construye de forma privada y, por lo tanto, no será revisado por pares por la comunidad de expertos en blockchain, lo que podría ayudar al equipo a detectar vulnerabilidades.

"Dado que la incorporación de código sin una verificación responsable fue lo que llevó a todo esto, esto debería poner nerviosos a los vergefam", tuiteó.

¿El futuro de Verge?

Pero hasta ahora, gran parte de la comunidad Verge sigue apoyando al equipo de desarrolladores y la misión de la criptomoneda.

Seudónimousuario de Verge Cripto DogLlegó incluso a afirmar que "no hay necesidad de entrar en pánico", afirmando que el éxito de Verge continuará pase lo que pase.CryptoRekt eligió verlo como una experiencia de aprendizaje, una que ayudaría a Verge a "construir un proyecto más grande y mejor".

Aun así, este ataque LOOKS una mala impresión, no solo en Verge , sino también en las organizaciones que se han asociado con el equipo de Verge , incluyendo a Pornhub. Sobre todo porque el vicepresidente de Pornhub... Corey Price declaró Verge fue elegido como método de pago para el sitio en un "proceso de selección muy deliberado" para preservar la Privacidad financiera de sus clientes.

Como tal, algunos desarrolladores creen que este episodio generará un mayor sentido de responsabilidad en muchas organizaciones para analizar de manera más efectiva una cadena de bloques antes de adoptarla.

"No me sorprendería que hubiera un mayor escrutinio en el futuro NEAR , lo que provocaría más ataques y que los inversores evaluaran con mayor precisión la propuesta de valor de los proyectos de altcoin más pequeños", dijo el ingeniero de BitGo, Mark Erhardt, y agregó:

La ausencia de un ataque no prueba la seguridad de un sistema. Bastantes proyectos de altcoins parecen estar tomando atajos peligrosos. Simplemente, nadie se ha molestado en explotar estas fallas o debilidades sistémicas todavía.

Como tal, Verge podría ser el primero de una larga lista de exploits futuros.

Si bien los ataques del 51% se han considerado generalmente difíciles de ejecutar, Gervais, de Liquidity Network, argumentó que nuevos datos parecen demostrar que es más fácil de lo que muchos creían. Señaló una nueva aplicación web,51cripto, que rastrea cuán rentable es ejecutar un ataque del 51 por ciento en varias cadenas de bloques.

La esencia de las estadísticas es que, cuanto más pequeña sea la cadena de bloques, más fácil es superarla y doblar las reglas, motivo por el cual los desarrolladores deben ser especialmente cuidadosos en la forma en que diseñan sus sistemas.

Porque "si un ataque tiene más sentido económico que un comportamiento honesto, los atacantes estarán allí", concluyó Gervais.

Imagen de Vergevía Shutterstock