El proyecto de computación confidencial descentralizada basado en teléfonos inteligentes Acurast ha recaudado USD 11 millones, afirmando que ofrece una ejecución a prueba de manipulaciones en teléfonos de consumo y una verificación de hardware segura.
Según un anuncio compartido el jueves con Cointelegraph, Acurast recaudó USD 11 millones del cofundador de Ethereum y fundador de Polkadot, Gavin Wood; el fundador de MN Capital, Michael van de Poppe, y el fundador de GlueNet, Ogle, entre otros. El proyecto tiene como objetivo lanzar su red principal el 17 de noviembre y planea lanzar su token nativo ACU junto con ella.
El fundador de Acurast, Alessandro De Carli, dijo que "miles de millones de teléfonos inteligentes son el hardware más probado en combate del planeta" y que la empresa espera reducir los costes aprovechándolos para "computación verificable y confidencial".
El explorador de la red informa de que casi 150.000 teléfonos ya se han unido a la red y han procesado más de 494 millones de transacciones, lo que ha permitido el despliegue de casi 94.200 servicios.
"Eliminamos los guardianes, reducimos los costes y ofrecemos una computación segura y sin necesidad de confianza a cualquier persona, en cualquier lugar y sin necesidad de un centro de datos", dijo De Carli.
¿Código informático confidencial en hardware de terceros?
Acurast afirma que permite que cualquiera pueda proporcionar computación confidencial, en la que los usuarios con acceso físico a teléfonos inteligentes que ejecutan el software del nodo no pueden acceder a los datos utilizados para el cálculo. Esto requiere una configuración que garantice, con un alto grado de certeza, que el propietario del teléfono inteligente no pueda alterar el software de forma que se comprometa este secreto.
Con este fin, los desarrolladores del proyecto implementaron una serie de comprobaciones para garantizar que el teléfono inteligente ejecuta software aprobado por el fabricante que no comprometa sus supuestos de seguridad. Aun así, los desarrolladores de aplicaciones bancarias llevan muchos años implementando medidas similares, solo para que las comunidades de firmware personalizado, como Graphene OS, encuentren soluciones alternativas que les permitan ejecutar las aplicaciones en sus configuraciones no autorizadas. De Carli afirmó que esto no se aplica a la aplicación de Acurast.
De Carli explicó a Cointelegraph que la aplicación del procesador Acurast envía pares de claves respaldadas por hardware con certificación de claves al protocolo Acurast. Si estas no coinciden con las proporcionadas por el fabricante del smartphone, "el procesador Acurast no puede obtener una certificación válida, por lo que no puede participar en la red".
De Carli también dijo que "esto garantiza que solo se pueda incorporar hardware genuino y certificado" y que los entornos inadecuados "no se pueden incorporar, porque no obtienen la certificación firmada adjunta a sus claves", lo que significa que el propietario del teléfono no puede manipular los datos del usuario ni el entorno de ejecución.
Las limitaciones de seguridad
Sin embargo, la suposición de seguridad se rompe si un sistema operativo para teléfonos inteligentes respaldado por el fabricante, iOS o Android, es explotado de la manera correcta por malware o su legítimo propietario.
De Carli descartó en gran medida esta idea, alegando que "si se consigue encontrar un exploit que permita hacerlo, se tiene derecho a una recompensa multimillonaria y el exploit se solucionaría poco después", y puso como ejemplo el programa de recompensas por errores de Google.
Sin embargo, en el pasado se descubrieron vulnerabilidades de este tipo.
Por ejemplo, en el sistema operativo TrustZone de Samsung, en 2022 se descubrió un ataque de reutilización de claves maestras AES-GCM IV, que permitía la extracción de claves protegidas y el abuso de la certificación. Además, un atacante que ya haya comprometido el proceso de la aplicación o el núcleo probablemente podrá cifrar y descifrar el contenido, pero no podrá extraer la clave privada en sí.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
