El Pentágono encuentra vulnerabilidades preocupantes en blockchain
- Seguridad Inteligente
Un informe encargado por el Pentágono ha concluido que la blockchain no está descentralizada, es vulnerable a los ataques y utiliza un software obsoleto. El informe, "Are Blockchains Decentralized, Unintended Centralities in Distributed Ledgers", descubrió que un subconjunto de participantes puede "ejercer un control excesivo y centralizado sobre todo el sistema blockchain".
Las conclusiones del informe son motivo de preocupación para un amplio abanico de sectores, pero especialmente graves para la seguridad, las fintech, las big tech y las industrias de las criptomonedas, que siguen creciendo.
El brazo de investigación del Pentágono, la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA), contrató a Trail of Bits -una organización de investigación de seguridad- para que investigara la cadena de bloques. Trail of Bits se centró en Bitcoin y Ethereum, las dos criptodivisas líderes en el mercado mundial.
Trail of Bits afirma que sólo hacen falta cuatro entidades para desbaratar Bitcoin y sólo dos para desbaratar Ethereum. Además, el 60% de todo el tráfico de Bitcoin se mueve a través de sólo tres ISP. La organización también identificó software y protocolos de blockchain anticuados y sin cifrar.
Los retos de seguridad de la cadena de bloques
Según Trail of Bits, ViaBTC, un pool de minería líder a nivel mundial, asigna la contraseña "123" a sus cuentas. Pooling, otra organización minera, ni siquiera valida las credenciales, y Slushpool -que ha minado más de 1,2 millones de Bitcoin desde 2010- instruye a los usuarios para que ignoren el campo de la contraseña. Combinados, estos tres grupos de minería representan alrededor del 25% de la tasa de hash de Bitcoin, o la potencia total de los ordenadores.
Trail of Bits advierte que los nodos utilizados por los mineros de criptomonedas pueden desplegarse fácilmente utilizando un servidor de nube barato. Estos pueden ser utilizados para inundar la red en lo que se conoce como un ataque Sybil. Los ataques Sybil pueden ejecutar un ataque de eclipse, en el que un actor malicioso busca aislar a los usuarios negando el acceso a los nodos.
Trail of Bits presentó pruebas de que una densa subred de nodos públicos es la principal responsable de alcanzar el consenso y comunicarse con los mineros. Un ejemplo de ataque sibilino se relacionó con un actor malicioso que se cree que procede de Rusia. El atacante se hizo con el control de hasta el 40% de los nodos de salida de Tor y los utilizó para reescribir el tráfico de Bitcoin.
Además, los errores de software y los bugs son también una de las principales preocupaciones de seguridad en el blockchain. Lo ideal sería que todos los nodos funcionaran con la misma versión del software, pero no es así. Los bugs de software ya han causado errores en la cadena de bloques de Ethereum y el 21% de los nodos de Bitcoin están ejecutando una versión antigua del cliente Bitcoin Core, que se sabe que es vulnerable, dice Trail of Bits.
Los desarrolladores y mantenedores de software de blockchain, así como millones de usuarios de criptomonedas de todo el mundo, también están siendo objeto de ataques, junto con los principales sitios de tecnología que están empezando a utilizar el blockchain como una nueva fuente de ingresos.
Más información
CyberRes es la unidad de negocio de Micro Focus que busca ayudar a los clientes a mejorar su ciberseguridad y acelerar la confianza, la fiabilidad y la supervivencia en tiempos de adversidad, crisis y volatilidad empresarial. ¿Quieres conocer más sobre CyberRes? Puedes consultar este enlace