A medida que la industria de las criptomonedas continúa expandiéndose y se convierte en un objetivo cada vez más atractivo para los piratas informáticos, el Pentágono ha encargado un estudio que ha descubierto algunas vulnerabilidades preocupantes, detalladas en un informe adjunto.
En efecto, el informe, publicado el 21 de junio y titulado “¿Están descentralizadas las cadenas de bloques? Centralidades no deseadas en libros mayores distribuidos”, ha descubierto que “un subconjunto de participantes puede obtener un control centralizado excesivo sobre todo el sistema”.
El estudio, que se centra en Bitcoin (BTC) y Ethereum (ETH), fue realizado por la firma de investigación de seguridad Trail of Bits bajo la dirección de la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA) del Pentágono.
Según el informe:
“La cantidad de entidades suficientes para interrumpir una cadena de bloques es relativamente baja: cuatro para Bitcoin, dos para Ethereum y menos de una docena para la mayoría de las redes PoS”.
El 60% del tráfico de Bitcoin pasa por solo 3 ISP
Además, el informe decía que “de todo el tráfico de Bitcoin, el 60% atraviesa solo tres ISP”, refiriéndose a los proveedores de servicios de Internet. Además de eso, “la gran mayoría de los nodos de Bitcoin parecen no participar en la minería y los operadores de nodos no enfrentan ninguna sanción explícita por deshonestidad”.
Como advierten los analistas, “la implementación de un nuevo nodo requiere solo una instancia económica de servidor en la nube; no se necesita hardware de minería especializado”. Esto permite la posibilidad de inundar la red de consenso de una cadena de bloques con nuevos nodos maliciosos controlados por una sola parte en lo que se llama un ataque Sybil.
Otros problemas incluyen protocolos y software desactualizados y sin cifrar, todos los cuales exponen la red a ataques. Como explica el informe:
“La seguridad de una cadena de bloques depende de la seguridad del software y los protocolos de sus mecanismos de consenso o gobernanza fuera de la cadena”.
Piscinas mineras descuidadas
El informe también descubrió que todos los grupos de minería que probaron sus analistas “asignan una contraseña codificada para todas las cuentas o simplemente no validan la contraseña proporcionada durante la autenticación”.
Como ejemplo, el informe utilizó la práctica del grupo global de minería de criptomonedas ViaBTC de aparentemente asignar la contraseña ‘123’ a todas sus cuentas. Otra empresa minera, Poolin, “parece no validar las credenciales de autenticación en absoluto”, mientras que Slushpool “instruye explícitamente a sus usuarios que ignoren el campo de la contraseña”.
Según los datos disponibles, estos tres pools de minería representan alrededor del 25 % del hashrate de Bitcoin.
Los investigadores de seguridad cibernética a menudo advierten sobre posibles debilidades relacionadas con las criptomonedas que pueden conducir a incidentes como el que informó Finbold a mediados de abril, en el que un atacante logró robar la colección completa de criptomonedas y tokens no fungibles (NFT) de una persona. $ 650,000 de su billetera criptográfica MetaMask.