Presionar las vulnerabilidades de la Red de Rayos de Bitcoin la fortalecerá

La Red del Relámpago es un protocolo joven, y está pasando por algunos dolores de crecimiento técnico a medida que su pila tecnológica crece y su red se expande. Aunque la mayoría de las vulnerabilidades (cubiertas en la primera parte de esta serie) no rompen el protocolo ni son fáciles de explotar, siguen siendo un recordatorio de que las mejoras vienen con compensaciones, y que la seguridad y la facilidad de uso son dos caras de la misma moneda.

Este es el segundo artículo de nuestra serie de dos partes sobre las vulnerabilidades existentes en la Red de Rayos de Bitcoin. La primera parte detalla las vulnerabilidades más destacadas y sus factores de riesgo. La segunda parte examinará por qué estos puntos débiles nunca han sido explotados, qué cambios se pueden hacer para solucionarlos y las compensaciones en desarrollo que vienen de equilibrar las aplicaciones fáciles de usar y la seguridad hermética.

Vulnerable, pero nunca explotada

A pesar de todas las vulnerabilidades del protocolo de la red Relámpago, nadie las ha explotado todavía. Parece que, en este momento, o bien son demasiado difíciles de conseguir para la mayoría de los hackers o no hay suficiente en juego en los canales de Lightning para justificar el esfuerzo, Joost Jager, un ingeniero independiente de la red Lightning, dijo a CoinDesk.

Además, la mayoría de los que usan Lightning ahora mismo son amistosos y no adversarios, así que las cosas se han mantenido en general pacíficas en la frontera de escalada de Bitcoin.

Sin embargo, hasta cierto punto, Jager agradecería un poco de adversidad. Después de todo, está muy bien tener vulnerabilidades que nadie explota, pero ¿qué pasa cuando el „kumbaya“ se detiene, los atacantes se vuelven inteligentes y Lightning tiene suficiente dinero para justificar un ataque?

Antes de que llegue ese día, a Jager le gustaría ver más „pruebas de batalla“ de la red de Lightning para que estos vectores de ataque no sean ignorados hasta que ya no puedan serlo.

„Creo que ayudaría si Lightning se convirtiera en un objetivo para los hackers. Porque ahora mismo todo es tan amistoso; no está realmente probado. Creo que sería bueno en esta etapa porque te ayuda a establecer tus prioridades. Si estás siendo atacado, entonces necesitas dirigir el ataque. Y si no puedes, entonces hay fundamentos que tienes que abordar“.

„¡Casi parece que vas a preparar a la Tierra para un meteorito que destruirá la vida, pero no ha ocurrido! Si no hay un ataque real, entonces es difícil mantener la atención en estos problemas.“

Como Jager señaló, todos los actores dominantes en la red hoy en día están más enfocados en la colaboración que en el subterfugio.

„Todas las personas que están construyendo en este momento son todas amigables y sólo quieren hacer que Lightning funcione y tenga éxito“, dijo Jager a CoinDesk.

De hecho, el número total de sabios técnicos que entienden Bitcoin y su Red Relámpago por dentro y por fuera podría caber dentro de una pequeña habitación. Si a esto le sumamos el hecho de que Lightning no es un honeypot lo suficientemente grande como para que los hackers se molesten en explotarlo, tenemos una respuesta de por qué la red no ha sido objetivo de actores maliciosos.

„Explotar LN requiere un fuerte conocimiento sobre los internos de Bitcoin y Lightning. A día de hoy este conocimiento no está muy extendido, lo que es un buen comienzo para explicar por qué no se explota“, dijo a CoinDesk Antoine Riard, desarrollador de Lightning para Chaincode Labs.

„Desde un punto de vista puro y holístico, si tienes este nivel de habilidades es probablemente más lucrativo robar de otra cadena de bloques insegura donde hay muchos más fondos que en la suma de todos los canales de Lightning“.

¿Podemos arreglarlo? Sí, pero…

Sin embargo, los desarrolladores ya están trabajando en varias correcciones, pero no es tan simple como desplegar una actualización.

De las vulnerabilidades descubiertas (y descritas en la primera parte), el llamado ataque de duelo – en el que un atacante puede bloquear un canal para que no envíe o reciba pagos enviando spam con contratos de bloqueo de tiempo de espera (HTLC) – es el más antiguo y el menos grave, ya que los fondos no pueden ser robados a través del ataque, sólo congelados. Otros como la inundación y el saqueo, otro ataque que implica el envío de spam a los canales de pago de la víctima con HTLC, puede resultar en la pérdida de fondos.

Otros aún, como los ataques de fijación y dilatación del tiempo, implican la explotación de la estructura de honorarios de Lightning para comprometer el equilibrio del canal de pago de la víctima.

En cuanto a las vulnerabilidades que aprovechan los mecanismos de honorarios de la Red Relámpago, Riard dijo a CoinDesk que una nueva actualización de las transacciones, presentada en abril con una actualización de la LND, „da un paso adelante“ para abordar estos puntos débiles. „Canales de anclaje“ permitirá a los usuarios actualizar las tarifas sobre la marcha cuando se cierren los canales para agilizar sus confirmaciones en cadena.

Esta característica experimental debería mejorar las tasas de éxito del cierre de canales y debería mitigar los vectores de ataque de muchas de las vulnerabilidades relacionadas con las tarifas. Con los canales de anclaje, las posibles víctimas pueden hacer frente a los malos actores asegurándose de que sus canales se cierren antes de que ocurra algo malintencionado.

No obstante, esta mejora ha puesto al descubierto una nueva vulnerabilidad que Riard reveló este septiembre, en la que un atacante puede esencialmente engañar a una „transacción de justicia“ (un mecanismo de Lightning que castiga a los malos actores que intentan engañar a sus pares aprovechando los equilibrios de sus canales).

La nueva vulnerabilidad, que surge como consecuencia de una actualización del protocolo, es un recordatorio destacado para Riard de que ninguna característica actualizada será la panacea para los puntos débiles de Lightning.

„Lo que debemos recordar es que cada clase de vulnerabilidad necesita su propia solución; no hay una bala de plata que las resuelva todas. Los ataques de Eclipse necesitan una mejor resistencia de las particiones de la red. Los ataques Pinning requieren mejores modelos de tarifas. Algunas de estas soluciones de ingeniería pueden ser integradas en Bitcoin Core porque es un factor común más allá de cualquier implementación de LN“.

Las correcciones de la vulnerabilidad de la red Lightning tienen sus límites

De hecho, en algunos casos, la actualización de Rayo por sí sola podría no cementar un arreglo. Para abordar el ataque de „pinning“, por ejemplo, Riard dijo que serán necesarias „mejoras en la retransmisión de transacciones y en el cobro de tarifas para la red principal de Bitcoin“. Considera este ataque y el ataque de eclipse de dilatación temporal como „particularmente“ preocupante porque una corrección requeriría hacer ajustes tanto en las implementaciones de Lightning Network como en el núcleo de Bitcoin en tándem.

En busca de una solución para el ataque de duelo, Jager ha lanzado un proyecto para un complemento del cliente Lightning llamado „circuitbreaker“. El cortafuegos permite a los nodos establecer un límite de cuántos HTLC entrantes pueden recibir, paralizando así a cualquier atacante que intente enviar spam al canal.

El interruptor de circuito también podría ser empleado para mitigar las superficies de ataque por inundación y saqueo. Pero esto también perturbaría la experiencia del usuario porque limitaría la cantidad de HTLC que un usuario aceptaría de los nuevos nodos de la red.

En pocas palabras, en palabras de Jager, „la aplicación de límites puede tener consecuencias“.

Consiguiendo un equilibrio

El hecho de que nadie haya capitalizado las vulnerabilidades por falta de chuletas técnicas, no garantiza que alguien no lo intente en el futuro si la red crece. Para que la red crezca, los desarrolladores necesitan hacerla lo más fácil posible de usar, modificando y añadiendo nuevas características, algo que ha abierto nuevos vectores de ataque en el pasado.

El núcleo del problema, subrayó Jager, es la eterna lucha en el diseño de software para equilibrar la facilidad de uso con una seguridad robusta (el ataque del eclipse es un ejemplo perfecto porque afecta a los clientes Lightning de la red, que son significativamente más fáciles de lanzar para los usuarios medios que un nodo Lightning completo).

En lugar de prepararse para el meteorito terrestre, por así decirlo, los equipos se centran en hacer que sus aplicaciones sean más fáciles de usar. Este sigue siendo un objetivo loable, pero queda mucho trabajo por hacer entre bastidores sobre las garantías técnicas de Lightning antes de que el protocolo pueda escalar para incluir aún más usuarios.

Afortunadamente, la Red Relámpago está todavía en su infancia, por lo que es „el momento perfecto para resolver todos estos problemas de seguridad e ingeniería dura“, dijo Riard. Es optimista sobre el futuro de Lightning, pero dice que sus proponentes deben ser realistas sobre „la magnitud total“ de estas vulnerabilidades si quieren abordarlas.

„Una vez que se entiendan mejor“, dijo, „no tengo ninguna duda de que la comunidad de desarrollo de Bitcoin en general tiene el talento y la paciencia para abordarlas correctamente“.

Jager está de acuerdo. En su opinión, todavía hay mucho que hacer antes de que Lightning se adapte a la base de usuarios y a la funcionalidad de algo como Venmo. Pero ninguna de estas vulnerabilidades compromete los bloques de construcción fundamentales de Lightning, ni querría que asustaran a nadie de la red que él ve como la mejor apuesta de Bitcoin para la escalada.

„Todavía hay mucho trabajo por hacer para que sea tan fácil como una aplicación de pago normal. Pero para mí lo importante es que no veo problemas fundamentales por los que Lightning no funcionaría. Simplemente hay una gran cantidad de trabajo por hacer. Creo que todos estos problemas se resolverán al final, y no parece haber ninguna alternativa mejor que Lightning en este momento.“