Economía

En Devs We Trust: Los errores de Bitcoin mueren en secreto, dejando a las Altcoins en riesgo

En Devs We Trust: Los errores de Bitcoin mueren en secreto, dejando a las Altcoins en riesgo 101
Fuente: Adobe / Krakenimages.com

Bitcoin (BTC) se defiende regularmente como la criptomoneda más segura que existe, pero incluso es vulnerable a errores ocasionales, lo que también significa que las bifurcaciones de BTC podrían estar sufriendo el mismo problema.

Este hecho inevitable se hizo evidente a principios de septiembre, cuando un artículo de investigación reveló que Bitcoin albergaba una grave vulnerabilidad de denegación de servicio.

El documento explica que el error se descubrió, y se corrigió, en 2018, pero representa la primera divulgación de este error. Dado que se publicó unos dos años después del descubrimiento de la vulnerabilidad, plantea preguntas importantes sobre las divulgaciones en Bitcoin y otras criptomonedas, incluida la cuestión de si los desarrolladores tienen la obligación de notificar al público los peligros más rápidamente.

Según los desarrolladores que hablaron con Cryptonews.com , mantener los errores de software en un secreto muy bien guardado (al menos hasta que se implemente una solución) es lo mejor para Bitcoin y sus usuarios. Al mismo tiempo, los intercambios de cifrado toman medidas para garantizar que ningún desarrollador con conocimiento previo de los errores intente beneficiarse del uso de información privilegiada.

El libro y una obligación moral

Habiendo descubierto el error el 22 de junio de 2018, el desarrollador de Purse, Braydon Fuller, notificó a los desarrolladores de Bitcoin Core el 9 de julio de 2018, y Matt Corallo, Wladimir J. van der Laan y otros mantenedores lanzaron un parche un día después.

Nadie más fue notificado, aunque la existencia del error en otras bifurcaciones de Bitcoin (como Decred (DCR) ) se descubrió en julio de este año, un hecho que puede haber llevado a Braydon Fuller y al desarrollador de Bitcoin Javed Khan a publicar tardíamente su hallazgos en septiembre.

Sin embargo, si bien esto sugiere que las personas involucradas pueden haber estado 'ocultando' vulnerabilidades y que no siguieron el debido proceso de divulgación, otros desarrolladores y personas involucradas en la industria de la criptografía afirmaron que las cosas se hicieron prácticamente según el libro.

"Yo diría que si alguien que no trabaja en el proyecto encuentra un error, tiene la obligación moral de informar al propietario o al encargado del código lo antes posible a través del proceso de divulgación responsable", dijo Ben Chan, director de tecnología de BitGo. , una importante empresa de custodia de criptomonedas.

Esto es exactamente lo que hizo Braydon Fuller en 2018. Notificó a los desarrolladores de Bitcoin Core tan pronto como confirmó que el exploit afectaba a la última versión del protocolo.

También notificó a los desarrolladores mediante el uso de correo electrónico cifrado, que nuevamente es una práctica estándar. "Para el núcleo de Bitcoin, puede usar [correo electrónico protegido] y cifrar el mensaje a través de GPG al desarrollador con el que prefiere contactar", dijo el desarrollador de Bitcoin Nicolas Dorier.

Algunos pueden sentirse tentados a culpar a los desarrolladores de Bitcoin Core por no dar a conocer la vulnerabilidad después de haber sido parcheada. Según Dorier, no es necesario publicitar explícitamente un error específico, siempre que los desarrolladores realmente lo parcheen y se aseguren de que todos actualicen su software.

“Los desarrolladores corrigen el error sin revelarlo, y cuando la corrección se ha distribuido lo suficiente como para que un exploit no pueda hacer ningún daño, se da a conocer al público.
A veces, los desarrolladores pueden decir 'deje de usar esta versión, hay una vulnerabilidad crítica que repararemos en 6 meses' ”, dijo a Cryptonews.com .

Del mismo modo, es una práctica estándar de la industria tecnológica mantener el conocimiento de un error al menor número de personas posible, especialmente antes de que se desarrolle una solución.

"La menor cantidad posible", coincidió Dorier, "y, en general, los desarrolladores prefieren no estar al tanto, para evitar sospechas si hay una filtración".

El desarrollador de Bitcoin, Bryan Bishop, también afirmó que anunciar una vulnerabilidad, incluso después de que se haya lanzado una actualización, puede no ser la mejor manera de hacerlo, y que no anunciarla es estándar en el desarrollo de software.

“No pueden anunciar la vulnerabilidad porque sin el tiempo suficiente para que los usuarios se actualicen, habría una mayor oportunidad de daño. Todo eso es estándar y normal ”, dijo a Cryptonews.com .

Riesgos asociados

Los problemas de divulgación se complican con las altcoins, en particular las altcoins bifurcadas de otras criptomonedas como Bitcoin. Por un lado, compartir públicamente una vulnerabilidad puede poner las monedas bifurcadas en riesgo de ataque, mientras que, por otro lado, no compartir errores puede dejar las monedas bifurcadas expuestas si otro investigador descubre de forma independiente el mismo exploit.

“Sin embargo, creo que lo que la gente olvida, especialmente sobre las altcoins, es que estas vulnerabilidades no necesariamente se informan a las miles de monedas bifurcadas”, dijo Bryan Bishop.

Según él, en algún momento, transmitir información de seguridad a un grupo de miles de otros desarrolladores es equivalente o tan dañino como transmitir información sobre vulnerabilidades al público en general.

“La consecuencia de esto es que hay algunos proyectos que simplemente no están al tanto de los problemas de seguridad”, agregó, un punto enfatizado por el hecho de que Decred todavía tenía la vulnerabilidad de junio de 2018 dos años después.

Otro posible riesgo es el uso de información privilegiada, como lo explicó a Cryptonews.com un portavoz de BitMEX .

"Por supuesto, existe un riesgo interno en torno a la divulgación de errores, donde, por ejemplo, las personas con conocimiento de una vulnerabilidad podrían vender bitcoins en corto y luego beneficiarse si la revelación de la vulnerabilidad causa problemas en la red y hace caer el precio", dijeron.

El portavoz de BitMEX declaró que el intercambio se toma muy en serio este riesgo. "Es por eso que estamos ansiosos por intentar mantenernos al tanto de estos problemas ejecutando muchas versiones de Bitcoin e implementando sistemas de alerta automatizados, como el sistema de detección de inflación inesperada".

___

Aprende más:
Las fugas de datos personales en las criptomonedas son inevitables, esto es lo que se puede hacer
Ledger actualiza la aplicación para combatir los ataques de polvo de Bitcoin
Trezor corrige una nueva vulnerabilidad, KeepKey trabajando en ella; Nuevas carteras de objetivos de malware

Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Lo más popular

To Top