La Ethereum Foundation ha publicado un post en su blog en el que describe una vulnerabilidad potencialmente catastrófica que podría haber provocado la caída de la mainnet con un coste inferior a cinco cifras hasta la ejecución de la bifurcación dura Berlín el mes pasado.

Un artículo del blog del 18 de mayo describe que la vulnerabilidad había supuesto "una grave amenaza contra la plataforma Ethereum" hasta que las actualizaciones de abril permitieron esquivar la bala.

El informe describe la amenaza como un "secreto a voces", señalando que una vez fue revelada públicamente por error. Tras la implementación de la bifurcación dura Berlin, la fundación estima que la amenaza es lo suficientemente baja como para justificar la divulgación completa en este momento, declarando:

“Es importante que la comunidad tenga la oportunidad de entender el razonamiento detrás de los cambios que afectan negativamente a la experiencia del usuario, como el aumento de los costes de gas y la limitación de los reembolsos.”

El post detalla que el estado de Ethereum consiste en un árbol de Merkle, comparando conceptualmente las nuevas cuentas en la red Ethereum con las nuevas hojas que crecen en un árbol. Con el crecimiento de la red Ethereum, se han implementado aumentos en los costos de gas desde octubre de 2016 para proteger contra los ataques de denegación de servicio, incluyendo la controvertida Propuesta de Mejora de Ethereum, o EIP-1884.

  • Estados Unidos, Alemania y Turquía lideran el interés de búsqueda sobre Ethereum

In 2019, Ethereum security researchers Hubert Ritzdorf, Matthias Egli, and Daniel Perez teamed up to weaponize an exploit enabled by the recent upgrades, with the attack triggering random trie lookups that could “lead to blocktimes in the minute-range.” A report published that year stated that delays caused by the attack will become longer as Ethereum’s state grows, “which allows efficient DoS attacks against Ethereum.”

En 2019, los investigadores de seguridad de Ethereum Hubert Ritzdorf, Matthias Egli y Daniel Pérez se unieron para armar un exploit habilitado por las actualizaciones recientes; el ataque desencadenaba búsquedas aleatorias de trie que podrían "conducir a tiempos de bloqueo en un rango de minutos." Un informe publicado ese año afirmaba que los retrasos causados por el ataque se alargarán a medida que el estado de Ethereum crezca "lo que permite ataques DoS eficientes contra Ethereum".

Después de que se rechazaron varias propuestas de los desarrolladores a lo largo de 2020, Vitalik Buterin se asoció con Martin Swende para crear el EIP-2929 y el EIP-2930, actualizaciones que aumentaban el precio del gas "solo para las cosas a las que no se había accedido" para evitar el ataque. Los EIP se introdujeron junto con la actualización Berlin el 15 de abril de 2021. Por ello, el post del blog estima que la actualización Berlin redujo la efectividad del exploit 50 veces.

  • Las instituciones se deshacen de su BTC a la vez que el volumen de los fondos de Ether se dispara

Ethereum no es la única red que se ha sincerado sobre las vulnerabilidades a largo plazo después de implementar actualizaciones para protegerse de dichos exploits.

En septiembre de 2020, los investigadores de criptomonedas Braydond Fuller y Javed Khan publicaron un artículo en el que revelaban una vulnerabilidad de gravedad "alta" para las soluciones de capa dos construidas sobre BTC, como la Lightning Network. A pesar de que la vulnerabilidad fue introducida y los autores estimaron que el 50% de los nodos de Bitcoin estaban expuestos al vector, los autores no identificaron ningún intento de explotar la debilidad.

Sigue leyendo: