Hace tan sólo unos días, desayunamos con la noticia que daban algunos medios “commodity” de que los contratos inteligentes de Ethereum habían sido hackeados. Esta posibilidad abriría una gran brecha de seguridad en una de las principales ventajas comparativas de la que es la segunda moneda virtual sólo por detrás de Bitcoin (al menos en capitalización).
Pero ya saben que muchas veces estas noticias de los medios “commodity” requieren un análisis un poco más concienzudo y detallado de lo que habitualmente nos ofrecen estos medios, y, como no podía ser de otra manera, aquí tienen al equipo del Blog Salmón para tomar el testigo de la información que verdaderamente requieren sus apreciados y exigentes lectores.
Una breve puesta en contexto en Blockchain
Ethereum recordemos que está basada también en el protocolo Blockchain, y que además, según nuestro parecer, es una moneda virtual con mayor proyección incluso que el propio Bitcoin, aunque a día de hoy no alcanza todavía su nivel de popularidad (al menos entre los no-techies). Pueden ampliar información sobre esta pugna por el liderazgo de la crypto-economía en este enlace.
Con el fin de que puedan valorar correctamente el resto del análisis, para los no versados en el tema de Blockchain, voy a hacerles una breve introducción en las próximas líneas, si bien les dejo también este enlace de Xataka al respecto, así como un artículo de genbeta (con algo menos de color salmón que nuestras líneas) con título “Banca, Bitcoin y Blockchain: extraños compañeros de viaje” para los lectores que deseen ampliar información.
Como su propio nombre indica, el protocolo Blockchain que sustenta tanto Bitcoin como Ethereum, se basa en una cadena de bloques. Estos bloques de Blockchain no son más que bloques de información con estructura y tamaño predefinido, que se almacena en todos los nodos de la red, y que no puede ser borrada nunca por los nodos.
Hemos de introducirles también a que la red Bitcoin o Ethereum (cuyas monedas son los Ethers) están formadas por nodos descentralizados, es decir, por ordenadores que ponen en funcionamiento los miners por iniciativa (e inversión) propia, y en el que ponen en ejecución el software correspondiente. Estos nodos soportan tanto el funcionamiento de la propia red Bitcoin o Ethereum, autorizando y registrando todas las transacciones, y también permiten hacer minería, es decir, resolver una compleja ecuación matemática cuyas soluciones permiten acuñar nuevos Bitcoins o Ethers, que pasan a ser propiedad del miner que las ha resuelto, y que le permiten ir financiando sus actividades e infraestructura. En el argot técnico se dice que se trata de redes descentralizadas porque están compuestas por infinidad de nodos independientes, gestionados por personas o grupos diferentes.
Cada vez que un bloque es completado, se almacena de forma que su información no puede ser borrada de ninguno de los nodos de la red. Obviamente este “no puede ser borrada” no está a salvo de hackeos del protocolo Blockchain o de que en la red el lado oscuro pueda poner servidores fraudulentos a funcionar que borren selectivamente lo que les interese, o que inserten nueva información fraudulenta. Pero lo que el lado oscuro puede aspirar a hackear como mucho al mismo tiempo es un grupo reducido de nodos, en comparación a la red global en su conjunto. La mayoría aplastante de nodos que no han podido ser hackeados en tiempo y forma van a hacer que la información veraz prevalezca.
He aquí la gran innovación de Blockchain: ya que es casi imposible tener un servidor completamente seguro, hagamos de la descentralización nuestra bandera, y ésta hará materialmente imposible (hoy por hoy) que la información y las transacciones puedan ser hackeadas en todos los nodos simultáneamente. Personalmente creo firmemente que ésta es la aproximación más inteligente y brillante a la seguridad informática que hemos visto desde que se creó internet. Y además es lo único que me inspira de nuevo confianza en un futuro formado casi exclusivamente por bits de unos y ceros.
La noticia inexacta de otros medios: Ethereum ha sido hackeado
La noticia con la que les decía que desayunamos en las portadas, efectivamente se tituló en varios casos en los términos de que Ethereum había sido hackeada. Más concretamente, lo que ocurrió ha tenido cierto impacto mediático porque el tema es que, como pueden leer en esta noticia, el scam ocurrió durante una ICO o Initial Coin Offering.
Es decir, los scammers atacaron en la salida a cotización de una nueva crypto-moneda (el equivalente a una OPV de acciones). Lo mediático de la noticia ha venido por un lado porque parecía que se confirmaba ese recelo de ciertos agentes económicos ante una disrupción económica como Ethereum, y por otro porque ha ocurrido en una de esas ICOs tan populares. Las ICOs de crypto-monedas están siendo la nueva fiebre del oro en Wall Street, hasta el punto de que en el análisis “Las razones por las que Bitcoin puede quebrar como proyecto (y crypto-moneda)” ya les expusimos el riesgo de que estemos asistiendo a una burbuja en este sub-sector, en el que incluso recaudan dinero crypto-monedas que se publicitan abiertamente por sus creadores como totalmente inútiles y sin valor alguno más allá de financiarles una nueva televisión de pantalla plana para su casa.
La ICO que ha sufrido este hackeo, se lanzó con un contrato inteligente de Ethereum, una de las características estrella de esta crypto-moneda, que es la segunda por capitalización tras Bitcoin. Un contrato inteligente es simplemente un contrato electrónico en el que, cuando se cumplen unas ciertas condiciones de entrada (como puede ser el prorrateo de la ICO o la superación de un precio límite concreto para cada inversor), se ejecuta la transacción en el momento de la salida a cotización de la nueva crypto-moneda (o en cualquier otro momento para otros tipos de contratos inteligentes).
Para asegurarse de que la transacción de Ethers puede ser finalmente ejecutada cuando el contrato toma vigencia y además se cumplen sus condiciones de entrada, al adherirse a un contrato inteligente, la red inmoviliza los Ethers susceptibles de ser objeto de transacción. Como habrán deducido, en este caso las nuevas unidades de la crypto-moneda de la ICO, las CoinDashs, se compraban con otra crypto-moneda: con Ethers.
Pero el hecho fue que muchos inversores, por un montante total de 7 millones de dólares hackeados, vieron cómo sus Ethers salían de sus carteras electrónicas, pero el destino no fue el servidor de Coindash, sino el de algún oscuro chip con pasamontañas. El delito (financiero) estaba consumado, y todos esos millones denominados en Ethers ya habían pasado con anonimato y sin posibilidad de trazabilidad al wallet de los cyber-delincuentes. Esto llevó a esos titulares sensacionalistas que afirmaron que los Ethers de la ICO habían sido robados, y que Ethereum había sido hackeado. Hasta aquí la noticia que, con mayor o menor nivel de detalle, habrán leído en otros medios.
Si Blockchain y Ethereum eran tan seguros: ¿Qué ha ocurrido entonces con el hackeo?
Pues lo que ha ocurrido es precisamente que no se ha usado Blockchain en todo su alcance (y esplendor). Veamos qué pasó exactamente para que puedan valorar por sí mismos lo que verdaderamente sucedió con esta ICO para perpetrar el robo virtual de millones de dólares en Ethers. Les explico más detalladamente.
Lo que estos (siempre) hábiles cyber-delincuentes hicieron fue que, dado que el contrato inteligente residía en un número reducido de servidores, en un entorno infinitamente más reducido que la red global y descentralizada Ethereum, hackearon ese contrato tan vulnerablemente implementado. Lo hicieron cambiando la dirección IP a la que debían transferirse los Ethers en caso de ejecutarse el contrato, y la sustituyeron por una IP de un servidor propio fraudulento. Así que la nueva moneda virtual CoinDash salió a cotización con la ICO, las condiciones de entrada del contrato inteligente se cumplieron, y los Ethers fueron transferidos… al servidor de los cyber-delincuentes cuya IP constaba en el contrato hackeado.
¿Siguen Ethereum y sus contratos inteligentes siendo seguros?
La respuesta es un matizable “depende”. Como casi todo en tecnología, Ethereum y sus contratos inteligentes siguen siendo seguros, pero dependiendo de cómo se implementen. No les voy a dejar así porque soy consciente de que nuestros lectores tan asalmonados siguen muy de cerca un mundo tan pujante como el de las crypto-monedas. Les explico con un poco más de detalle, con la sana intención de divulgar cómo se puede hacer de nuestro cyber-mundo un lugar más seguro y confiable, especialmente en lo financiero como corresponde a un medio online de cabecera como El Blog Salmón.
Tenemos pues que realmente ni la tecnología de Ethereum ni la de sus contratos inteligentes en sí mismos fue hackeada, sino que lo que se hackeó fue el servidor. Pero, ¿Cómo se podría haber evitado el hackeo? Pues efectivamente con más (que no mejor) Blockchain. Esa dirección IP a la que los Ethers de los inversores fueron enviados de forma fraudulenta pudo ser hackeada porque residía en un único (y hackeable) website. Como ven, se ha hecho uso de Ethereum y de Blockchain dejando un punto único de fallo al margen de la confiable descentralización. Como pueden leer en este artículo al respecto, la solución propuesta por Guy Zyskind, CEO de Enigma, y con la que un servidor no puede estar más de acuerdo, habría sido blindar esa IP.
Supongo que a estas alturas se estarán preguntando: ¿Y cómo blindar la IP donde se envían los Ethers? Pues, como bien dice el título: con más Blockchain. Tras la puesta en contexto en Blockchain que les he hecho al inicio de este artículo, recuerden que lo que da más seguridad a la información residente en los bloques de Blockchain es que los bloques no se pueden borrar, y que residen simultáneamente en una infinidad de nodos descentralizados que componen la red. ¿Van viendo la solución? Poner la IP de un contrato inteligente en un bloque de Blockchain haría que ésta no pudiese ser modificada (ni por lo tanto, hackeada), al menos no al mismo tiempo en una mayoría de nodos de la red (lo único que daría validez a la IP fraudulenta).
Por ello, nuestra recomendación es que no compre ese mensaje simplista y superficial que se ha vendido en los titulares “commodity” de que Ethereum ya no es seguro. Es inexacto y poco veraz. El mejor consejo que podemos darles desde aquí, es que se informen concienzudamente sobre las características técnicas y no técnicas de cualquier emisión de monedas virtuales o ICOs, exactamente igual a lo que deberían hacer con cualquier OPV tradicional. Será esencial la generalización en el ecosistema Ethereum de sellos reconocidos de garantía de verificación y anti-hacking para (aparente) tranquilidad de los inversores y usuarios.
No confíe ciegamente en ninguna tecnología socioeconómica tan sólo por que sea evidentemente el futuro: todo, todo, depende de cómo se implemente, y de esa letra pequeña que a menudo pasamos por alto. Y ante la duda, o la omisión de información, ya saben que, para jugar a la ruleta, también tienen como opción el casino.
Imágenes | Pixabay geralt | Photopin btckeychain CreativeCommons Unchanged photo | Pixabay geralt | Pixabay HypnoArt | Pixabay Pexels | Pixabay PIRO4D
Hace tan sólo unos días, desayunamos con la noticia que daban algunos medios “commodity” de que los contratos inteligentes de Ethereum habían sido hackeados. Esta posibilidad abriría una gran brecha de seguridad en una de las principales ventajas comparativas de la que es la segunda moneda virtual sólo por detrás de Bitcoin (al menos en capitalización).
Pero ya saben que muchas veces estas noticias de los medios “commodity” requieren un análisis un poco más concienzudo y detallado de lo que habitualmente nos ofrecen estos medios, y, como no podía ser de otra manera, aquí tienen al equipo del Blog Salmón para tomar el testigo de la información que verdaderamente requieren sus apreciados y exigentes lectores.
Una breve puesta en contexto en Blockchain
Ethereum recordemos que está basada también en el protocolo Blockchain, y que además, según nuestro parecer, es una moneda virtual con mayor proyección incluso que el propio Bitcoin, aunque a día de hoy no alcanza todavía su nivel de popularidad (al menos entre los no-techies). Pueden ampliar información sobre esta pugna por el liderazgo de la crypto-economía en este enlace.
Con el fin de que puedan valorar correctamente el resto del análisis, para los no versados en el tema de Blockchain, voy a hacerles una breve introducción en las próximas líneas, si bien les dejo también este enlace de Xataka al respecto, así como un artículo de genbeta (con algo menos de color salmón que nuestras líneas) con título “Banca, Bitcoin y Blockchain: extraños compañeros de viaje” para los lectores que deseen ampliar información.
Como su propio nombre indica, el protocolo Blockchain que sustenta tanto Bitcoin como Ethereum, se basa en una cadena de bloques. Estos bloques de Blockchain no son más que bloques de información con estructura y tamaño predefinido, que se almacena en todos los nodos de la red, y que no puede ser borrada nunca por los nodos.
Hemos de introducirles también a que la red Bitcoin o Ethereum (cuyas monedas son los Ethers) están formadas por nodos descentralizados, es decir, por ordenadores que ponen en funcionamiento los miners por iniciativa (e inversión) propia, y en el que ponen en ejecución el software correspondiente. Estos nodos soportan tanto el funcionamiento de la propia red Bitcoin o Ethereum, autorizando y registrando todas las transacciones, y también permiten hacer minería, es decir, resolver una compleja ecuación matemática cuyas soluciones permiten acuñar nuevos Bitcoins o Ethers, que pasan a ser propiedad del miner que las ha resuelto, y que le permiten ir financiando sus actividades e infraestructura. En el argot técnico se dice que se trata de redes descentralizadas porque están compuestas por infinidad de nodos independientes, gestionados por personas o grupos diferentes.
Cada vez que un bloque es completado, se almacena de forma que su información no puede ser borrada de ninguno de los nodos de la red. Obviamente este “no puede ser borrada” no está a salvo de hackeos del protocolo Blockchain o de que en la red el lado oscuro pueda poner servidores fraudulentos a funcionar que borren selectivamente lo que les interese, o que inserten nueva información fraudulenta. Pero lo que el lado oscuro puede aspirar a hackear como mucho al mismo tiempo es un grupo reducido de nodos, en comparación a la red global en su conjunto. La mayoría aplastante de nodos que no han podido ser hackeados en tiempo y forma van a hacer que la información veraz prevalezca.
He aquí la gran innovación de Blockchain: ya que es casi imposible tener un servidor completamente seguro, hagamos de la descentralización nuestra bandera, y ésta hará materialmente imposible (hoy por hoy) que la información y las transacciones puedan ser hackeadas en todos los nodos simultáneamente. Personalmente creo firmemente que ésta es la aproximación más inteligente y brillante a la seguridad informática que hemos visto desde que se creó internet. Y además es lo único que me inspira de nuevo confianza en un futuro formado casi exclusivamente por bits de unos y ceros.
La noticia inexacta de otros medios: Ethereum ha sido hackeado
La noticia con la que les decía que desayunamos en las portadas, efectivamente se tituló en varios casos en los términos de que Ethereum había sido hackeada. Más concretamente, lo que ocurrió ha tenido cierto impacto mediático porque el tema es que, como pueden leer en esta noticia, el scam ocurrió durante una ICO o Initial Coin Offering.
Es decir, los scammers atacaron en la salida a cotización de una nueva crypto-moneda (el equivalente a una OPV de acciones). Lo mediático de la noticia ha venido por un lado porque parecía que se confirmaba ese recelo de ciertos agentes económicos ante una disrupción económica como Ethereum, y por otro porque ha ocurrido en una de esas ICOs tan populares. Las ICOs de crypto-monedas están siendo la nueva fiebre del oro en Wall Street, hasta el punto de que en el análisis “Las razones por las que Bitcoin puede quebrar como proyecto (y crypto-moneda)” ya les expusimos el riesgo de que estemos asistiendo a una burbuja en este sub-sector, en el que incluso recaudan dinero crypto-monedas que se publicitan abiertamente por sus creadores como totalmente inútiles y sin valor alguno más allá de financiarles una nueva televisión de pantalla plana para su casa.
La ICO que ha sufrido este hackeo, se lanzó con un contrato inteligente de Ethereum, una de las características estrella de esta crypto-moneda, que es la segunda por capitalización tras Bitcoin. Un contrato inteligente es simplemente un contrato electrónico en el que, cuando se cumplen unas ciertas condiciones de entrada (como puede ser el prorrateo de la ICO o la superación de un precio límite concreto para cada inversor), se ejecuta la transacción en el momento de la salida a cotización de la nueva crypto-moneda (o en cualquier otro momento para otros tipos de contratos inteligentes).
Para asegurarse de que la transacción de Ethers puede ser finalmente ejecutada cuando el contrato toma vigencia y además se cumplen sus condiciones de entrada, al adherirse a un contrato inteligente, la red inmoviliza los Ethers susceptibles de ser objeto de transacción. Como habrán deducido, en este caso las nuevas unidades de la crypto-moneda de la ICO, las CoinDashs, se compraban con otra crypto-moneda: con Ethers.
Pero el hecho fue que muchos inversores, por un montante total de 7 millones de dólares hackeados, vieron cómo sus Ethers salían de sus carteras electrónicas, pero el destino no fue el servidor de Coindash, sino el de algún oscuro chip con pasamontañas. El delito (financiero) estaba consumado, y todos esos millones denominados en Ethers ya habían pasado con anonimato y sin posibilidad de trazabilidad al wallet de los cyber-delincuentes. Esto llevó a esos titulares sensacionalistas que afirmaron que los Ethers de la ICO habían sido robados, y que Ethereum había sido hackeado. Hasta aquí la noticia que, con mayor o menor nivel de detalle, habrán leído en otros medios.
Si Blockchain y Ethereum eran tan seguros: ¿Qué ha ocurrido entonces con el hackeo?
Pues lo que ha ocurrido es precisamente que no se ha usado Blockchain en todo su alcance (y esplendor). Veamos qué pasó exactamente para que puedan valorar por sí mismos lo que verdaderamente sucedió con esta ICO para perpetrar el robo virtual de millones de dólares en Ethers. Les explico más detalladamente.
Lo que estos (siempre) hábiles cyber-delincuentes hicieron fue que, dado que el contrato inteligente residía en un número reducido de servidores, en un entorno infinitamente más reducido que la red global y descentralizada Ethereum, hackearon ese contrato tan vulnerablemente implementado. Lo hicieron cambiando la dirección IP a la que debían transferirse los Ethers en caso de ejecutarse el contrato, y la sustituyeron por una IP de un servidor propio fraudulento. Así que la nueva moneda virtual CoinDash salió a cotización con la ICO, las condiciones de entrada del contrato inteligente se cumplieron, y los Ethers fueron transferidos… al servidor de los cyber-delincuentes cuya IP constaba en el contrato hackeado.
¿Siguen Ethereum y sus contratos inteligentes siendo seguros?
La respuesta es un matizable “depende”. Como casi todo en tecnología, Ethereum y sus contratos inteligentes siguen siendo seguros, pero dependiendo de cómo se implementen. No les voy a dejar así porque soy consciente de que nuestros lectores tan asalmonados siguen muy de cerca un mundo tan pujante como el de las crypto-monedas. Les explico con un poco más de detalle, con la sana intención de divulgar cómo se puede hacer de nuestro cyber-mundo un lugar más seguro y confiable, especialmente en lo financiero como corresponde a un medio online de cabecera como El Blog Salmón.
Tenemos pues que realmente ni la tecnología de Ethereum ni la de sus contratos inteligentes en sí mismos fue hackeada, sino que lo que se hackeó fue el servidor. Pero, ¿Cómo se podría haber evitado el hackeo? Pues efectivamente con más (que no mejor) Blockchain. Esa dirección IP a la que los Ethers de los inversores fueron enviados de forma fraudulenta pudo ser hackeada porque residía en un único (y hackeable) website. Como ven, se ha hecho uso de Ethereum y de Blockchain dejando un punto único de fallo al margen de la confiable descentralización. Como pueden leer en este artículo al respecto, la solución propuesta por Guy Zyskind, CEO de Enigma, y con la que un servidor no puede estar más de acuerdo, habría sido blindar esa IP.
Supongo que a estas alturas se estarán preguntando: ¿Y cómo blindar la IP donde se envían los Ethers? Pues, como bien dice el título: con más Blockchain. Tras la puesta en contexto en Blockchain que les he hecho al inicio de este artículo, recuerden que lo que da más seguridad a la información residente en los bloques de Blockchain es que los bloques no se pueden borrar, y que residen simultáneamente en una infinidad de nodos descentralizados que componen la red. ¿Van viendo la solución? Poner la IP de un contrato inteligente en un bloque de Blockchain haría que ésta no pudiese ser modificada (ni por lo tanto, hackeada), al menos no al mismo tiempo en una mayoría de nodos de la red (lo único que daría validez a la IP fraudulenta).
Por ello, nuestra recomendación es que no compre ese mensaje simplista y superficial que se ha vendido en los titulares “commodity” de que Ethereum ya no es seguro. Es inexacto y poco veraz. El mejor consejo que podemos darles desde aquí, es que se informen concienzudamente sobre las características técnicas y no técnicas de cualquier emisión de monedas virtuales o ICOs, exactamente igual a lo que deberían hacer con cualquier OPV tradicional. Será esencial la generalización en el ecosistema Ethereum de sellos reconocidos de garantía de verificación y anti-hacking para (aparente) tranquilidad de los inversores y usuarios.
No confíe ciegamente en ninguna tecnología socioeconómica tan sólo por que sea evidentemente el futuro: todo, todo, depende de cómo se implemente, y de esa letra pequeña que a menudo pasamos por alto. Y ante la duda, o la omisión de información, ya saben que, para jugar a la ruleta, también tienen como opción el casino.
Imágenes | Pixabay geralt | Photopin btckeychain CreativeCommons Unchanged photo | Pixabay geralt | Pixabay HypnoArt | Pixabay Pexels | Pixabay PIRO4D
Compartir esto: