El estudio proporciona información sobre las vulnerabilidades de blockchain

El estudio proporciona información sobre las vulnerabilidades de blockchain


25 de junio de 2022

(Noticias de Nanowerk) Las tecnologías de registros distribuidos, como las cadenas de bloques, se han vuelto más comunes en una variedad de contextos durante la última década. La premisa es que las cadenas de bloques funcionan de forma segura sin un control central y que son inmutables o impermeables al cambio.

Dada su misión de crear y prevenir sorpresas tecnológicas, DARPA se esforzó por comprender estos supuestos de seguridad y determinar hasta qué punto las cadenas de bloques están realmente descentralizadas. Es por eso que la agencia contrató a la firma de investigación y consultoría de seguridad cibernética Trail of Bits para estudiar las propiedades fundamentales de las cadenas de bloques y los riesgos de seguridad cibernética que plantean.

El estudio dio como resultado un informe (PDF) que ofrece un análisis holístico disponible para cualquier persona que considere blockchains para asuntos importantes, para que puedan comprender mejor las vulnerabilidades potenciales en estos sistemas.

«El informe demuestra la necesidad continua de un escrutinio cuidadoso al evaluar nuevas tecnologías como blockchain a medida que proliferan en nuestra sociedad y economía», dijo Joshua Baron, gerente del programa DARPA que supervisó el estudio. «No debemos tomar ninguna promesa de seguridad al pie de la letra y cualquier persona que use cadenas de bloques para asuntos de gran importancia debe pensar en las vulnerabilidades involucradas».

Las cadenas de bloques están descentralizadas, ¿verdad?

La tecnología de contabilidad distribuida (DLT), y las cadenas de bloques en particular, se utilizan en una variedad de contextos, como: B. moneda digital, finanzas descentralizadas e incluso voto electrónico. Si bien hay muchos tipos diferentes de DLT, cada uno creado con decisiones de diseño fundamentalmente diferentes, la propuesta de valor general de DLT y blockchains es que se pueden operar de forma segura sin un control centralizado. Las primitivas criptográficas que habilitan las cadenas de bloques son bastante sólidas en este punto y, a menudo, se da por sentado que estas primitivas hacen que las cadenas de bloques sean inmutables (no susceptibles de cambio).

Este informe proporciona ejemplos de cómo se puede violar esta inmutabilidad, no mediante la explotación de vulnerabilidades criptográficas, sino mediante la subversión de las propiedades de las implementaciones, la red y el protocolo de consenso de una cadena de bloques. El informe muestra que un subconjunto de participantes puede obtener un control centralizado excesivo sobre todo el sistema.

fuentes de centralización

Este informe cubre varias formas de centralizar el control de una DLT: Centralidad autoritaria: ¿Cuál es el número mínimo de unidades requeridas para interrumpir el sistema? Este número se llama coeficiente de Nakamoto, y cuanto más se acerca este valor a uno, más centralizado está el sistema. Esto también se conoce como «centralidad de la gobernanza». centralidad del consenso: Similar a la centralidad autorizada, ¿en qué medida es la fuente del consenso (por ejemplo, prueba de trabajo [PoW]) centralizado? ¿Una sola entidad (como un pool de minería) controla una cantidad irrazonable del poder de hash de la red? Centralidad motivacional: ¿Cómo se evita que los participantes actúen maliciosamente (p. ej., publicar datos incorrectos o con formato incorrecto)? ¿En qué medida estos incentivos se gestionan de forma centralizada? ¿Cómo, en todo caso, se puede privar de derechos a un participante malicioso? centralidad topológica: ¿Qué tan resistente es la red de consenso a las interrupciones? ¿Existe un subconjunto de nodos que forman un puente importante en la red, sin el cual la red se ramificaría? centralidad de la red: ¿Los nodos están lo suficientemente distribuidos geográficamente para que estén distribuidos uniformemente a través de Internet? ¿Qué sucedería si un proveedor de servicios de Internet (ISP) o un estado malicioso decide bloquear o filtrar todo el tráfico DLT? centralidad del software: ¿Hasta qué punto la seguridad de la DLT depende de la seguridad del software en el que se ejecuta? Cualquier error en el software (ya sea intencional o no intencional) podría invalidar las invariantes de la DLT, p. B. Romper la inmutabilidad. Si la especificación de la DLT es ambigua, dos clientes de software desarrollados de forma independiente pueden no estar de acuerdo, lo que da como resultado una bifurcación en la cadena de bloques. Una vulnerabilidad ascendente en una dependencia compartida por los dos clientes puede afectar su funcionamiento de manera similar.

Información clave y conclusiones

A continuación se presentan los principales hallazgos de esta investigación. Se explicarán con más detalle más adelante en el informe.

● El desafío de usar una cadena de bloques es que uno debe (a) aceptar su inmutabilidad y confiar en que sus programadores no han introducido un error, o (b) permitir contratos actualizables o código fuera de la cadena que tengan los mismos problemas de confianza que una cadena de bloques. enfoque centralizado.

● Cada cadena de bloques generalizada tiene un conjunto privilegiado de entidades que pueden cambiar la semántica de la cadena de bloques, alterando potencialmente las transacciones anteriores.

● La cantidad de unidades suficientes para romper una cadena de bloques es relativamente pequeña: cuatro para Bitcoin, dos para Ethereum y menos de una docena para la mayoría de las redes de PoS.

● La gran mayoría de los nodos de Bitcoin no parecen estar involucrados en la minería, y los operadores de nodos no enfrentan ninguna sanción explícita por deshonestidad.

● El protocolo estándar para la coordinación dentro de los grupos de minería de cadenas de bloques, estrato, no está cifrado y no está autenticado de manera efectiva.

● Cuando los nodos tienen una vista desactualizada o incorrecta de la red, esto reduce el porcentaje de tasa de hash requerida para ejecutar un ataque estándar del 51 %. Además, solo los nodos operados por pools de minería deben ser degradados para llevar a cabo dicho ataque. Por ejemplo, en la primera mitad de 2021, el costo real de un ataque del 51 % a Bitcoin estaba más cerca del 49 % del hashrate.

● Para que una cadena de bloques se distribuya de manera óptima, debe haber los llamados costos de Sybil. Actualmente no existe una forma conocida de implementar los costos de Sybil en una cadena de bloques sin permiso como Bitcoin o Ethereum sin implementar un tercero de confianza centralizado (TTP). Hasta que se descubra un mecanismo para hacer cumplir los costos de Sybil sin TTP, será casi imposible que las cadenas de bloques sin permiso logren una descentralización satisfactoria.

● Una subred densa, posiblemente no escalable, de nodos de Bitcoin parece ser en gran parte responsable de llegar a un consenso y comunicarse con los mineros; la gran mayoría de los nodos no contribuyen significativamente a la salud de la red.

● El tráfico de Bitcoin no está cifrado: cualquier tercero en la ruta de la red entre nodos (por ejemplo, ISP, operadores de puntos de acceso Wi-Fi o gobiernos) puede observar y descartar cualquier mensaje que desee.

● El 60% de todo el tráfico de Bitcoin atraviesa solo tres ISP.

● Tor es ahora el proveedor de red más grande de Bitcoin y enruta el tráfico para aproximadamente la mitad de los nodos de Bitcoin. La mitad de estos nodos se enrutan a través de la red Tor y se puede acceder a la otra mitad a través de direcciones .onion. El siguiente Sistema Autónomo (AS) más grande, o proveedor de red, es AS24940 de Alemania, que representa solo el 10% de los nodos. Un nodo de salida Tor malicioso puede alterar o eliminar el tráfico como un ISP.

● De los nodos de Bitcoin a junio de 2021, el 21 % ejecutaba una versión anterior del cliente Bitcoin Core que se sabe que es vulnerable.

● El ecosistema de Ethereum exhibe una cantidad significativa de reutilización de código: el 90 % de los contratos inteligentes de Ethereum implementados recientemente son al menos un 56 % similares.



Related post

Directores de omnicanalidad: cada vez más importantes para las empresas

Directores de omnicanalidad: cada vez más importantes para las…

Hace algunas semanas llamó la atención un post en Linkedin en que una de las empresas más reconocidas en el mundo…
¿Una serie de un mes sobre empresas de tecnología climática lideradas por mujeres?  Inscríbeme.

¿Una serie de un mes sobre empresas de tecnología…

La semana pasada tuve la suerte de conocer por primera vez a todo mi equipo de GreenBiz en nuestra ubicación corporativa…
Ciertos nanoplásticos pueden causar agujeros entre las células endoteliales

Ciertos nanoplásticos pueden causar agujeros entre las células endoteliales

A nivel mundial, el aumento de la demanda y la producción de plásticos ha llevado a su acumulación masiva en vertederos…

Leave a Reply

Tu dirección de correo electrónico no será publicada.