Por los pelos, las versiones más antiguas de Bitcoin han parcheado una vulnerabilidad que podría haber permitido que se produjera el tan temido ataque del 51% en la criptomoneda más grande del mundo por tan solo 68.000€.
El escenario que se hubiera producido es muy hipotético, pero el hecho de que algo así fuese posible hasta esta semana ha alarmado a muchos miembros de la comunidad de Bitcoin.
La vulnerabilidad se encontraba en el Bitcoin Core, el software cliente sobre el que depende todo el blockchain de Bitcoin, pero también afectaba a al menos otra importante bifurcación que utiliza el mismo código base, Litecoin (LTC).
Hay pocos detalles, pero en el aviso sobre la versión parcheada menciona una vulnerabilidad de denegación de servicio (CVE-2018-17144) que llega desde la versión 0.14.0 que apareció en marzo de 2017, hasta la versión 0.16.2 de comienzos de este año.
Dice el informe:
Se ha descubierto que versiones más antiguas del Bitcoin Core fallarían al procesar un bloque que contuviera una transacción que intentara gastar el mismo valor dos veces.
En efecto, un atacante podría haber creado un bloque invalido o “envenenado” al intentar gastar los mismos Bitcoins dos veces, que se propagaría rápidamente por casi toda la red de más de 9.000 nodos de Bitcoin Core, causando que esta fallara.
El coste de hacer esto significaría perder el bloque que contuviera la transacción problemática, equivalente a 12,5 Bitcoins con un valor actual de 68.000€. Con muchos nodos offline, un atacante podría potencialmente controlar la mayor parte de los mineros restantes para controlar en mecanismo de consenso de la red, el llamado ataque del 51%.
Normalmente, esto no sería posible (intentar gastar las mismas monedas dos veces debería ser rechazado por consenso) pero vulnerabilidades tan serias muestran como se puede quebrantar las reglas.
Esto nos recuerda otro incidente ocurrido anteriormente este año en la que otra criptomoneda, Verge, pudo ser susceptible a otro ataque del 51%.
La vulnerabilidad ha sido parcheada en la versión 0.16.3 pero aún hay preguntas sobre cómo una vulnerabilidad tan simple apareció en Bitcoin Core 0.14.0 y permaneció sin ser detectada durante tanto tiempo.
También ha avivado el debate en Reddit sobre si una criptomoneda tan importante como Bitcoin debe depender tanto de un cliente de referencia, así como de la exposición de docenas de bifurcaciones de pequeñas criptomonedas que utilizan el mismo código base que también deben ser parcheadas.
Emin Gün Sirer, un respetado experto en criptomonedas y profesor de la universidad de Cornell, tuiteó:
Looks like the bug fix made its way to Litecoin, but only after the BTC fix was announced. Does not look like Litecoin devs were notified of the bug prior to patch.
Copycat currencies are at risk. By definition, there's always a group upstream that knows their vulnerabilities.
— Emin Gün Sirer🔺 (@el33th4xor) September 19, 2018
Para los escépticos de Bitcoin, el incidente de esta semana servirá como ejemplo del peligro de que una plataforma que gestiona 100.000$ millones que está basada en un gran número de supuestos sin testear.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario