La fusión de Ethereum se acerca rápidamente. Después de años de desarrollo (y demoras), el tan esperado cambio de Ethereum de prueba de trabajo a prueba de participación está casi sobre nosotros. En una llamada de desarrollo reciente, la fecha de la fusión fue fijado tentativamente para el 15 o 16 de septiembre de 2022.
Es difícil exagerar la importancia de esta transición. El consenso de prueba de trabajo, que la cadena Ethereum adoptó de Bitcoin y ha estado utilizando desde su creación en 2015, es frecuentemente criticado como ineficiente y dañino para el medio ambiente. Se estima que la prueba de participación utiliza más del 90 % menos de energía que la prueba de trabajo. Así que esta es una gran noticia, ¿verdad? Desafortunadamente, el proyecto de privacidad suizo HOPR ha identificado una posible falla de privacidad que podría causar caos una vez que ocurra la fusión.
El problema: el francotirador del validador
Para comprender el problema, debemos desviarnos brevemente sobre cómo se implementará el consenso de prueba de participación de Ethereum. A diferencia de la prueba de trabajo, donde todos compiten simultáneamente para completar bloques, en la prueba de participación, a los participantes con suficiente participación, conocidos como validadores, se les asigna un espacio particular en el que solo ellos podrán proponer un bloque. Este bloque será validado por otros miembros de la red y, si es aceptado, se agregará a la cadena.
El problema surge en cómo esto se desarrolla en la práctica. A los validadores se les asignan espacios al azar, pero este horario es conocido por todos en la red de antemano. Este aviso avanzado les da tiempo a los atacantes potenciales para recopilar datos para un exploit disruptivo y lucrativo.
Aunque los validadores se identifican en la red solo por una clave pública seudónima, la comunicación con otros pares en la red también filtra las direcciones IP de los validadores, con suficiente tiempo, es posible vincular claves públicas con direcciones IP, rompiendo el velo del seudónimo. Con este enlace en su lugar, es posible llevar a cabo un ataque de denegación de servicio, bombardeando el dispositivo de destino con solicitudes y desconectándolo temporalmente. Una vez eliminado de la red, el validador no podrá proponer un bloque y su ventana de espacio breve expirará sin completarse.
Este ataque, que elimina un validador para evitar que completen sus funciones de blockchain, se ha denominado "francotirador de validador".
¿Por qué importa esto? Este problema se conoce desde hace años, incluso se menciona en varios Ethereum auditorías de seguridad – pero previamente descartado como de “baja severidad” porque parecía haber pocas razones para interrumpir la cadena de esta manera.
Pero algo importante sucedió desde que se publicaron esas auditorías por primera vez: el aumento de la importancia de MEV, donde los mineros o validadores extraen valor de la cadena de bloques ordenando e insertando deliberadamente transacciones de manera rentable. Un fenómeno poco conocido hace unos años, con el auge de DeFi, MEV se ha convertido en una fuente de ingresos de mil millones de dólares. Es difícil evaluar el verdadero alcance de MEV, pero una mirada a cualquier explorador de bloques mostrará rápidamente que afecta a la mayoría de los bloques en la cadena de bloques.
Esto es crucial para la prueba de participación, ya que estas oportunidades lucrativas de MEV convierten a los francotiradores del validador de una hazaña esotérica en un ataque profundamente tentador. Si un validador ve jugosas oportunidades de MEV en el mempool, pero su espacio de bloque asignado no es lo suficientemente pronto, tiene un fuerte incentivo para eliminar a los validadores anteriores en el cronograma y robar sus recompensas.
Las cadenas de bloques dependen en gran medida de que los incentivos estén alineados para que todos lleguen a un consenso. Con incentivos perversos en su lugar, es posible que la cadena Ethereum posterior a la fusión sufra interrupciones frecuentes y los validadores se ataquen entre sí.
Pero, ¿qué tan probable es esto? El equipo de HOPR realizó una investigación sobre la Gnosis Beacon Chain funcionalmente equivalente y pudo usar un nodo de validación modificado para identificar el vínculo entre las claves públicas y las direcciones IP con más del 90 % de confianza. Al hacerlo, el equipo analizó más de mil millones de puntos de datos recopilados durante meses de validación. Después de la consulta de los equipos de la Fundación Ethereum y Gnosis Chain, parece que al optimizar la configuración de recolección de datos, el enlace crucial se puede establecer en tan solo quince minutos.
La solución: protección de la propiedad intelectual
Entonces, ¿qué puede hacerse? Una opción es usar una VPN, pero a la larga es poco probable que ofrezca suficiente protección. Las actualizaciones del algoritmo de consenso en sí podrían ayudar, pero es probable que lleve años investigarlas e implementarlas.
Como parte de su investigación, HOPR sugiere que una red mixta de privacidad como la que están desarrollando podría ser una solución, ya que el proceso de retransmisión de datos a través de diferentes rutas tiene el mismo efecto que el ciclo regular de direcciones IP.
Es importante tener en cuenta que este problema no es una preocupación inmediata porque no es posible explotar MEV mientras se prueba la configuración de prueba de participación. Pero una vez que ocurre la fusión y se procesan las transacciones reales, todas las apuestas están canceladas.
Si la fusión va a ser un éxito, parece esencial que los proyectos de todo el ecosistema se unan para tapar esta laguna de privacidad.
Descargo de responsabilidad: este artículo se proporciona solo con fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
Fuente: https://cryptodaily.co.uk/2022/08/the-ticking-privacy-time-bomb-at-the-heart-of-the-eth2-merge