-
Este tipo de ataques tambiรฉn pueden expandirse a blockchains pรบblicas como Ethereum y Bitcoin.
-
Las blockchains podrรญan no ser la mejor soluciรณn para usar en operaciones financieras interbancarias
Un par de profesores de la Universidad de Sydney han publicado un reporte de una investigaciรณn enfocada al ยซAtaque de Balanceยซ, una nueva modalidad de ataque que tiene alto potencial de perpetrase con รฉxito a cualquier criptomoneda que emplee la minerรญa basada en algoritmos de Prueba-de-Trabajo.
La investigaciรณn fue realizada tomando como referencia la blockchain privada que es usada para las operaciones de prueba del consorcio tecnolรณgico-bancario R3CEV; aunque segรบn los resultados de varias pruebas realizadas por Cristopher Natoli y Vincent Gramoli, los investigadores responsables del informe, este tipo de ataques tambiรฉn pueden expandirse a blockchains pรบblicas como Ethereum y Bitcoin.
Tal como es expuesto en el informe cientรญfico, un Ataque de Balance puede ser realizado siempre que una blockchain pueda ser dividida en varios sub-grupos de mineros que posean un poder de procesamiento equilibrado. El objetivo de este tipo de ataques es lograr retrasar la comunicaciรณn entre estos sub-grupos de la red para conseguir que con una sola cantidad de monedas puedan registrarse distintas transacciones en la blockchain y asรญ generar un ยซdoble gastoยป.
Acorde a las pruebas realizadas en la investigaciรณn de Natoli y Gramoli, existe para cada blockchain una cantidad exacta de tiempo y poder de procesamiento con la que un atacante tiene alta probabilidad de ยซengaรฑar a la redยป y generar un doble gasto.
Siendo mรกs especรญficos, un atacante puede retrasar la comunicaciรณn entre dos o mรกs sub-grupos de la red para luego realizar una transacciรณn que sea confirmada por uno de estos sub-grupos. Posteriormente, dirige su poder de procesamiento a otro sub-grupo hasta generar la suficiente cantidad de bloques como para que el รกrbol de bloques de รฉste sub-grupo supere al de aquel primero que registrรณ la transacciรณn.
En la prรกctica, una persona podrรญa aislar un sub-grupo de la red de mineros y luego comprar bienes con bitcoins en una tienda; una vez que la transacciรณn sea entregada a este sub-grupo aislado de la red, inicia el Ataque de Balance para lograr que dicha transacciรณn no sea confirmada finalmente en la blockchain de Bitcoin.
Si bien la transacciรณn no ha sido confirmada y registrada en la blockchain, justamente por la seguridad que brinda el consenso de la red Bitcoin es que el comerciante, o el servicio de pagos, confรญa en que la transacciรณn sea registrada en algรบn momento. Es allรญ donde este tipo de ataques puede ser muy daรฑino a las blockchains con algoritmo de Prueba-de-Trabajo (abreviado en inglรฉs como PoW), ya que podrรญa romper por completo la confianza que brindan estas redes.
Por supuesto las condiciones de retraso de comunicaciรณn entre los sub-grupos, los tiempos de retraso y el poder de procesamiento suficientes para realizar el ataque deben estar presentes para al menos garantizar una alta probabilidad de รฉxito.
Al respecto, Vincent Gramoli ejemplificรณ aรบn mรกs al diario The Register:
Supongamos que Alice ejecuta una transacciรณn a un comerciante que pertenece a un grupo de mineros. Espera lo suficiente para ver que no hay comunicaciรณn entre los sub-grupos, pero la transacciรณn se comparte en el grupo y se entrega.
Una vez que sepa que la transacciรณn ha sido entregada, sabe que recibirรก bienes en el mundo real. Pero ahora, Alice puede usar su poder de minerรญa para crear mรกs bloques y enviarlos a otro grupo de mineros, de modo que cuando la red vuelva a ser confiable de nuevo, y los mensajes sean intercambiados entre sub-grupos, los bloques minados en los sub-grupos que no vieron la transacciรณn original prevalecerรกn sobre aquellos que vieron la primera transacciรณn.
Vincent Gramoli
Investigador
Entre los datos probabilรญsticos publicados en el informe, destaca el hecho de que un atacante que posea un poder de procesamiento equivalente al 10% de la blockchain de pruebas del consorcio R3CEV, tiene una probabilidad de 50% de realizar un ataque exitoso con sรณlo retrasar la comunicaciรณn entre varios sub-grupos en al menos 20 minutos.
Sin duda los resultados del estudio realizado por estos profesores de la casa de estudios australiana son muy interesantes y, para muchos, alarmantes. No obstante, recordamos que esta exploraciรณn fue realizada en el lecho de pruebas que usa el consorcio R3CEV para sus operaciones interbancarias. En este caso, cada uno de los bancos y/o empresas que conforman el consorcio podrรญan realizar uno de estos ataques con mayor facilidad puesto que la distribuciรณn de poder de procesamiento de esta red es equilibrada entre todos los miembros.
Aunque en las blockchains pรบblicas de Ethereum y Bitcoin esto pudiese parecer muy difรญcil de lograr, la simple probabilidad de que exista espacio a este tipo de ataques es preocupante; esto sin importar cuรกn descabellado nos parezca que el poder de procesamiento de la red Bitcoin se divida entre sub-grupos con un poder de procesamiento equilibrado.
Ataques de Balance y la confianza en la blockchain
La principal alarma que dispara este estudio es que desafรญa a la naturaleza confiable y segura que hasta ahora tenemos sobre las plataformas de tecnologรญa blockchain. Aunque pudiese tardar mucho en confirmarse una transacciรณn en Bitcoin, por ejemplo, estamos confiados en que รฉsta serรก confirmada y registrada en la cadena de bloques en algรบn momento y no podrรก ser modificable; pues el consenso distribuido entre los nodos es la mayor arma de este tipo de plataformas que hace que podamos hacer pagos de manera segura, aun cuando las personas involucradas en la operaciรณn no confรญen entre sรญ.
En el contexto financiero/bancario, Gramoli dice que el problema es que las cadenas de bloques son probabilรญsticas, pero para algo como una transferencia interbancaria, se necesita determinismo. Si el sistema entra en un estado en el que no puede garantizar todas las transacciones, el tiempo de inactividad es la mejor soluciรณn.
Basado en esto, las blockchains podrรญan no ser la mejor soluciรณn para su uso en operaciones financieras interbancarias, debido a que la probabilidad -aunque sea muy pequeรฑa- de que puedan ejecutarse ataques de forma exitosa en el tiempo que una transacciรณn tarda en ser confirmada, es una amenaza de gran peligro para estas instituciones.
La naturaleza no reversible de las transacciones realizadas en plataformas blockchain obligan a que todas deban ser confirmadas en algรบn momento, sin importar si la cantidad de operaciones puede saturar en determinado punto la capacidad de la red y asรญ generar retrasos. Estas diferencias probabilรญsticas y determinรญsticas que menciona Gramoli pudieran ser caracterรญsticas cruciales para el sector Fintech en su naciente interรฉs por esta tecnologรญa en aplicaciones bancarias.
Del lado de blockchains pรบblicas de amplio uso como Bitcoin y Ethereum, la distribuciรณn actual de nodos y mineros luce lo suficientemente distribuida como para hacer bastante difรญcil de perpetrar estos Ataques de Balance a sus redes. No obstante, este informe presenta conclusiones muy interesantes a tomar en cuenta para que la comunidad de desarrolladores y usuarios puedan fortalecer aรบn mรกs los algoritmos de seguridad y consenso de las criptomonedas.
