Least Authority: Auditoria de seguridad a Ethereum 2.0 revela debilidades potenciales

***

Una auditoría a las especificaciones de Ethereum 2.0 destacó la necesidad de abordar posibles vulnerabilidades con la capa de red peer-to-peer (P2P) del protocolo y el sistema de propuestas de bloques, de acuerdo con los hallazgos publicados.

Así lo informaron medios como The Block Crypto y DeCrypt. En efecto, y a petición de la Fundación Ethereum, la firma de seguridad tecnológica Least Authority revisó las especificaciones de ETH 2.0 en enero y trabajaron estrechamente durante todo el proceso.

Un tweet de Least Authority dio cuenta de la finalización de la auditoría:

¡Acabamos de concluir la auditoría #phase0 de las especificaciones de #eth2!
Muchas gracias a @dannyryan y el equipo @ethereum.

Echa un vistazo a nuestra entrada de blog + informe completo aquí:

https://t.co/3cFb41ML6H?amp=1

We just wrapped up the #phase0 audit of the #eth2 specs!
Big thanks to @dannyryan and the @ethereum team.

Check out our blog post + full report here: https://t.co/3cFb41ML6H#ethereum #security #audit pic.twitter.com/nuHrkJJSmv

— Least Authority (@LeastAuthority) March 24, 2020

Auditoria de Least Authority a Ethereum 2.0

Según el informe final de auditoría, Least Authority encontró que las especificaciones están “muy bien pensadas y completas”, poniendo un énfasis particular en sus diseños de seguridad integrales, dijo el medio DeCrypt. Sin embargo, el equipo argumentó que no hay ejemplo en el mundo real de un protocolo a gran escala que utilice Prueba de participación (Proof of stake y fragmentación (sharding).

En tal sentido, agregan, es difícil evaluar la estabilidad a largo plazo de ETH 2.0 en este momento. “Es uno de los primeros proyectos de protocolo Proof of Stake (PoS) / fragmentado planeados para producción“, dijo el informe. Y agregó:

Como resultado, ha habido mínima oportunidad para estudiar los impactos de las decisiones de diseño en los usos del mundo real de tales implementaciones de Blockchain, y ninguno a la misma escala. La estabilidad a largo plazo de las cadenas de bloques PoS es un área de investigación activa que deberá monitorearse a lo largo del tiempo a medida que se utilizan en la producción.

El medio DeCrypt dijo que ETH 2.0 estará entre las primeras redes de prueba de participación (PoS) en emplear sharding, una técnica de fragmentación ideada para distribuir la carga en Ethereum. ETH 2.0 pasó la prueba de ácido inicial, pero la falta de un sistema de fragmentación comparable resultó ser un desafío para la auditoría de Least Authority.

Falta de documentación

El informe destacó la falta de documentación cuando se trata de la capa de red peer-to-peer (P2P) del protocolo y el sistema de registros de nodo Ethereum (ENR por sus siglas en inglés).

“Encontramos que la capa de red Peer-to-peer (P2P) y el sistema ENR están insuficientemente representados“, dijo el informe. Y agregó: “Estos pueden ser elaborados en fases posteriores, pero su significado sugiere que la Fase 0 sería un buen punto de partida para sentar las bases de una capa de red fuerte.”

Además, el informe señaló dos áreas con posibles riesgos de seguridad: el sistema proponente de bloques y el sistema de mensajería P2P. Ambos requieren esfuerzos de investigación a largo plazo y podrían abordarse en las fases posteriores del proyecto, según el informe.

Posible fuga de información

Como ya ha informado DiarioBitcoin previamente, ETH 2.0 marca una transición de un sistema de prueba de trabajo (PoW) a un sistema de prueba de participación (PoS). Con PoW, el proceso de elegir un bloque ganador es sencillo y ningún observador puede predecir quién será el primero en resolver el rompecabezas. Con PoS, sin embargo, es necesario que haya un proponente de bloques para decidir qué bloque entrará en la cadena. Este proceso, explicó el informe, abre el riesgo de pérdida de información.

Para mitigar este riesgo, el informe recomendó utilizar un mecanismo de elección de líder secreto único (SSLE) para ocultar el proceso de selección. Al mismo tiempo, el proponente de bloque elegido podría comunicar su identidad a otros.

“Con la fuga de información parcheada, el proponente de bloques permanece tan protegido como lo sería en las cadenas PoW, pero sin la sobrecarga computacional“, dijeron los autores del informe.

El equipo de Ethereum 2.0 reconoció la mitigación sugerida“, continuaron. “Sin embargo, SSLE sigue siendo un área activa de investigación. Como resultado, esperamos que surja más información y actualizaciones sobre estos vectores a medida que continúe la investigación sobre SSLE y Ethereum 2.0 alcance los hitos de la Fase 1 y 2.

‘Problema de spam’

El informe señala que la segunda vulnerabilidad potencial se refiere al “problema de spam” en el sistema de mensajería P2P del protocolo.

Sin una entidad centralizada que juzgue las acciones de los nodos, un nodo deshonesto puede enviar spam a la red con un número ilimitado de mensajes de bloque antiguos sin mucha penalización. Tales ataques eliminarán los mensajes legítimos. Del mismo modo, los nodos también pueden enviar un número ilimitado de mensajes y crear tráfico innecesario en Blockchain.

“Este tipo de ataque ralentizaría o potencialmente detendría el procesamiento de la red durante la duración en que se llevó a cabo“, dijo el informe.

Para abordar este problema, Least Authority sugirió la implementación de un protocolo de mensajes para evitar mensajes “maliciosos“. Según el informe, la firma de investigación tecnológica Protocol Labs está investigando técnicas de muestreo por pares que puedan ayudar.

Fecha de lanzamiento incierta

De acuerdo a The Block Crypto, Least Authority no pudo confirmar la fecha de lanzamiento real de Eth 2.0. Como informó DiarioBitcoin, la Fundación Ethereum tiene previsto el lanzamiento de la red principal de la Fase 0 para abril 2020. Sin embargo, según la Fundación, el cronograma de abril tenía la intención de ayudar a informar al calendario de auditoría.

El líder del proyecto ETH 2.0, Danny Ryan, anunció en un tweet del martes los próximos pasos para el equipo. Ryan dijo que los desarrolladores necesitarían llevar a cabo, además de un programa de recompensas de errores de Fase 0, una importante red de prueba multi-cliente y ejecutarla durante al menos dos meses.

Todo esto, antes de que pueda tener lugar el lanzamiento de la red principal de Fase 0. Por lo tanto, dijo el medio, es poco probable que el lanzamiento ocurra en las próximas semanas.

¡Gracias! Fue un placer trabajar con @LeastAuthority en esto 🙂

Ahora es el momento de las redes de prueba multi-cliente y nuestro programa de recompensas de errores fase 0. Más detalles muy pronto

Thank you! It was a pleasure to work with @LeastAuthority on this 🙂

Now time for multi-client testnets and our Phase 0 bug bounty program. More details very soon https://t.co/ng9wHqTE0V

— dannyryan (@dannyryan) March 24, 2020

El medio DeCrypt, por su parte, dijo que ETH 2.0 tendrá un lanzamiento escalonado de 6 fases y la primera, la fase 0 está programada tentativamente para su lanzamiento en julio, lo que le da a los desarrolladores unos meses para resolver cualquier inconveniente restante.

Artículos Relacionados

Charles Hoskinson: Ethereum 2.0 no es copia de Cardano ni están conectados.

Pre-lanzamiento de Ethereum 2.0 sale con funcionalidades relativamente completas

Vitalik Buterin precisó mejoras que vendrán para la red de Ethereum

?

Fuentes: Least Authority, The Block Crypto, DeCrypt, Medium, Archivo de DiarioBitcoin.

Reporte de Arnaldo Ochoa / DiarioBitcoin.

Imagen de Unsplash

ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.