Ethereum: primer truco después de The Merge, ¿está en peligro la criptomoneda?

Se ha identificado una falla de seguridad en una cadena de blockchain de Ethereum. Un hacker explotó la brecha para obtener activos digitales. Poco después de la Fusión, ¿se volvió vulnerable la segunda criptomoneda más valiosa del mercado? Hacemos balance.

Ethereum realizó una transición exitosa de Prueba de trabajo (PoW) a Prueba de participación (PoS) . Unos días después de este cambio de algoritmo de consenso, se produjo un hackeo en Ethereum PoW , una bifurcación de la cadena de bloques de Ethereum. Esta es una versión de la red cuyo algoritmo de consenso no ha cambiado. Todavía funciona sobre la base de PoW y los mineros aún tienen un papel importante que desempeñar.

Para intercambiar criptomonedas desde la cadena de bloques principal a la bifurcación, o viceversa, los usuarios deben pasar por puentes . Estos protocolos permiten transferir activos de una cadena de bloques a otra. Durante el proceso, las criptomonedas depositadas se bloquean en un contrato inteligente. Paralelamente, el equivalente de las monedas bloqueadas se emite en la cadena de bloques de destino. De esta manera, el usuario puede usar sus tenencias en otra cadena de bloques. En este caso, pueden usar tokens ETHW en la cadena principal o viceversa.

Sí, pero aquí está: el domingo 18 de septiembre de 2022, tres días después de Merge, un hacker atacó OmniBridge , uno de esos puentes que conecta varias redes, incluida la blockchain de Ethereum. El ataque fue identificado rápidamente por investigadores de BlockSec, un especialista en seguridad de blockchain.

Al explotar una falla en el funcionamiento de Omnibridge, el hacker logró duplicar la cantidad de criptomonedas depositadas . El hacker depositó 200 ETH en el puente. Rápidamente los retiró, pero gracias a la laguna, recibió 200 ETHW en la cadena de bloques Ethereum PoW. Claramente, pudo irse con monedas digitales sin congelar sus tenencias en un contrato inteligente. Por lo tanto, los fondos se duplicaron. El atacante ganó entre $8 y $10,000 en el proceso.

Lea también:  Por qué ya no es rentable minar criptomonedas con tarjeta gráfica

Puentes entre bifurcaciones, ¿el eslabón débil de Ethereum?

En una publicación de blog , los desarrolladores de Ethereum PoW señalan que la falla no está en el nivel de blockchain. La brecha, que hizo posible la duplicación de criptomonedas, proviene de un contrato inteligente del puente Omnibridge.

 “No hubo un ataque de repetición de ETHPoS y ETHPoS, que los ingenieros de seguridad de ETHW Core habían anticipado ”, explican los desarrolladores de ETH PoW.

Por lo tanto, el puente es responsable del ataque. Como informan los expertos de Chainalysis, "  los puentes son un objetivo principal para los piratas informáticos porque a menudo albergan un espacio de almacenamiento central donde se depositan las criptomonedas que se utilizan para respaldar las monedas emitidas en la cadena de bloques receptora". 

La mayoría de los ataques registrados este año también se dirigieron a puentes. Este verano, el ecosistema estuvo particularmente marcado por el hackeo de Nomad , que se saldó con la desaparición de 190 millones de dólares en criptomonedas. En el caso de Nomad, la infracción se introdujo por una actualización de un contrato inteligente puente. Recientemente, también se detectó una falla crítica en el puente Arbitrum conectado a Ethereum. Un pirata podría haber incautado los fondos en tránsito en el puente. Afortunadamente, la vulnerabilidad se cerró antes de que un hacker la explotara.

Otros vectores de ataque

Después de The Merge, ya no son los mineros los que aseguran las transacciones en la cadena de bloques de Ethereum. A partir de ahora, son los validadores los encargados de securizar la red. Para convertirse en validador es necesario tener un mínimo de 32 Ethers. Estos tokens luego se depositan como garantía. El validador luego recibe una recompensa en ETH, como los mineros antes de la Fusión.

“El staking (Nota del editor: individual) se refiere exclusivamente a una comunidad de defensores de Ethereum, que tienen grandes habilidades técnicas. No es fácil para todos. El acceso no es fácil” , lamenta Gilles Cadignan, fundador de Woleet, una start-up especializada en ciberseguridad, durante una entrevista con 01Net.

Esta es la razón por la que la mayoría de los validadores pasan por plataformas de participación centralizadas . Muchos intercambios de criptomonedas ofrecen servicios de participación. Es el caso de Coinbase, Binance, BlockFi o incluso Kraken. Tras la fusión, la gestión de la seguridad de la cadena de bloques de Ethereum se centralizó considerablemente. Este fenómeno había sido ampliamente anticipado por los desarrolladores, especifica el fundador de Woleet.

"Una vez que pasó el Merge, de los 1000 bloques, 420 bloques fueron validados por dos direcciones" , subraya Gilles Cadignan.

Entre las entidades que concentran gran parte de la participación se encuentra Lido . Este es un servicio que permite a cualquier persona convertirse en un validador de Ethereum. El protocolo ha atraído a muchos inversores deseosos de aumentar sus participaciones. Como resultado, Lido ha llegado a concentrar poco más del 30% del mercado de validación de Ethereum. Tenga en cuenta también que la gran mayoría de los activos depositados en Lido son Ethers. De los 7.800 millones de dólares apostados en el protocolo, 7.610 millones de dólares son ETH. Sin embargo, Lido no es realmente un jugador centralizado. Esta es una firma que sirve como intermediario para cerca de 30 empresas .

La concentración del staking © Bitwise Asset Management

La ubicuidad de las plataformas de  participación conlleva " riesgos potenciales de censura regulatoria ", dijo el desarrollador de Ethereum, Abde lhamid Bakhta. En términos concretos, una entidad, como un gobierno, podría presionar a un validador para que rechace transacciones. En teoría, un validador como Lido podría tener que "  someterse a la regulación" , añade el director general de Woleet.

A raíz de la fusión, Estados Unidos también ha considerado que la blockchain de Ethereum depende de la legislación estadounidense . Para la Comisión de Bolsa y Valores (SEC) , la policía financiera estadounidense, todas las transacciones realizadas en Ethereum se consideran realizadas en los Estados Unidos. El regulador argumenta señalando que la mayoría de los validadores están ubicados en suelo estadounidense. Como muestra Etherscan, el sitio que le permite explorar la cadena de bloques, más del 45% de los nodos están alojados en el territorio del país. ¿Los validadores tendrán que cumplir con la legislación estadounidense en el futuro?

Ethereum, ¿una cadena de bloques que se ha vuelto demasiado compleja?

Interrogado por nosotros, Gilles Cadignan también evoca el Nothing at Stake o "nada que perder", "  un problema bien conocido por todos los amantes de los algoritmos de consenso" . Esta falla, inherente a la Prueba de participación, consiste en validar transacciones en dos bifurcaciones de una cadena de bloques. Para evitar que un validador valide bloques en dos redes, los desarrolladores implementaron slashing . Este es un sistema de penalización que castiga a un validador que busca validar bloques en varias ramas en paralelo.

Con adiciones de este tipo, la fusión de Ethereum habría hecho que el código de la cadena de bloques fuera significativamente más complejo . Esta mayor complejidad abriría la puerta a descubrir posibles fallas en el futuro. Además, "  los continuos cambios radicales  "  decretados por los desarrolladores de Ethereum, y la profusión de bifurcaciones, podrían debilitar la infraestructura.

“  La complejidad es enemiga de la seguridad. Cuanto más complicado es, mayor es el riesgo de fallas. Y Ether, con PoS, es aún más complejo, hay incluso más líneas de código. Creo que hay 100 veces más líneas de código,  va por todos lados  ”, explica Gilles Cadignan, subrayando que basta con que haya “un solo problema para que todo siga” .

Si quieres conocer otros artículos parecidos a Ethereum: primer truco después de The Merge, ¿está en peligro la criptomoneda? puedes visitar la categoría Seguridad.