Criptomonedas: un extraño aglomerado de fascinante tecnología construida por brillantes ingenieros; una forma de economía completamente nueva y potencialmente importante; … y la máquina exagerada infló tonterías locas. Entonces, como era de esperar, también combinan ingeniería resistente de última generación y la llamada seguridad cómica de los coches de payaso. Sí, es cierto, quiero hablar sobre IOTA y (hasta cierto punto) Bitcoin Cash.
Las prácticas de seguridad modernas incluyen: comprensión y compromiso con divulgación responsable; estar disponible y accesible para investigadores de seguridad de terceros; ofreciendo recompensas por errores; borracho tu codigo; etcétera. También incluyen obviedades valiosas como “no hagas tu propia criptografía. ” Aquí eso es cripto como en criptografía, y eso significa, siempre siempre utilice siempre algoritmos e implementaciones criptográficas probados y comprobados en el tiempo. No intente construir uno propio desde cero. Te arepentirás.
IOTA, en la actualidad la décima criptomoneda más valiosa del mundo, adoptó una postura … asertivamente contraria con respecto a esta máxima. No solo lanzaron su propia criptografía, sino que lanzaron sus propias unidades fundamentales, decidiendo que el binario no era lo suficientemente bueno a la mitad, y que trinario fue donde está, que sus trits y trytes eran mucho mejores que bits y bytes.
Confieso que una parte de mí tiene un respeto a regañadientes por la surrealidad de este tipo de arte de performance de whackadoodle. Por desgracia, esta media admiración no se extiende a la reciente saga en la que a) lanzaron su propia criptografía; b) Los investigadores del MIT y la BU encontraron una falla en él; c) IOTA primero dijo que la falla era intencional, y luego, aparentemente, que fue creado por una IA imperfecta (!); d) un espectacular guerra de palabras (entre esas partes y varias otras) estalló. Entonces ayer Neha Narula, el director de la Iniciativa de Moneda Digital del MIT, presentó el trabajo del año pasado en una charla en Black Hat, y aunque ese trabajo surgió del año pasado …
Lo interesante es esto: Iota ha estado luchando para eliminar su función hash casera rota (que todavía se usa en su coordinador centralizado) antes de una presentación de vulnerabilidad en BlackHat. pic.twitter.com/ofBk3XQyMv
– Matthew Green (@matthew_d_green) 8 de agosto de 2018
Entrevisté a Narula esta mañana y ella dijo, todavía asombrada, que en realidad le parecía que IOTA pensaba que su charla de ayer revelaría una nueva vulnerabilidad no revelada anteriormente. Su malentendido fundamental sobre cómo funciona la seguridad del software y lo que significa la divulgación responsable es asombroso.
Bien puede pensar que IOTA es un proyecto tan ridículo que es injusto usarlo como ejemplo. Pero si es así, tenga en cuenta que las criptomonedas siguen siendo un campo muy extraño, y muchas personas que han invertido mucho dinero en ellas son incapaces de distinguir los proyectos ridículos de los serios. Hace un par de días visité el “club nocturno de criptomonedas” de Las Vegas, muy apropiadamente llamado MORE; La idea general es que las personas pueden invertir en MoreCoin (sí, de verdad) y gastarlo en mejores accesos / fiestas en Las Vegas y destinos similares. Ya sea que crea que este es un concepto válido o un esquema loco para hacerse rico rápidamente, es un ejemplo de cómo las criptomonedas están cada vez más dirigidas al público poco sofisticado. Para su público objetivo, no hay mucha diferencia entre MoreCoin y Bitcoin; cualquier ridiculez técnica no es obstáculo para el éxito.
Pero si quieres hablar de algo más serio y de mayor relieve, está bien; hablemos de narula’s publicación más reciente, este describe y con respecto a un error en Bitcoin Cash, una de las pocas monedas que se negocian en Coinbase. Hace algunos meses, un desarrollador, Cory Fields, descubrió que la bifurcación que dio origen a Bitcoin Cash incluía una refactorización del código de consenso de Bitcoin … de modo que se podría crear un bloque malicioso que dividiría Bitcoin Cash en dos cadenas de bloques separadas.
Esto sería muy malo, casi con certeza habría disminuido drásticamente el valor de Bitcoin Cash y posiblemente podría usarse para un ataque de doble gasto; lo que significa que, dado el valor y la liquidez de Bitcoin Cash, era un error que posiblemente podría haberse utilizado para generar muchos millones de dólares en efectivo. Afortunadamente, Fields es un compañero admirable y decidió hacer lo correcto.
¿Pero cómo? ¿A quién contactar? Las personas con derechos comprometidos sobre el repositorio de Bitcoin Cash, supuso; pero ninguno de ellos había proporcionado métodos seguros de contacto público. Esta era información que podía usarse para estafar muchos millones de dólares, no podía enviarse por correo electrónico en texto plano y, lo que es más, si alguien más descubría el error, pero este desarrollador Core era el único que se sabía que lo había descubierto, sería pintando un gran objetivo en su espalda. ¿Cómo puede realizar una divulgación responsable cuando no hay una salida a la que divulgar?
Al final, Fields encontró la manera. (Una forma muy complicada.) Y el error se ha solucionado. Pero las dificultades que tuvo destacan el hecho de que, a medida que las criptomonedas maduran, sus políticas y procedimientos de seguridad deben madurar junto con ellas. Felicitaciones a aquellos que ya están bien en este camino, como Ethereum, EOS y Tezos; y ladrones para aquellos que dificultan la revelación de vulnerabilidades y / o aquellos que responden con ignorancia armada.