Solo 30% de los nodos de Bitcoin se han actualizado al cliente de Core que corrige falla

Casi dos meses después del descubrimiento de un error de programación o bug en el cliente de Bitcoin Core, la mayor parte de los nodos que utilizan este cliente siguen sin actualizar a la nueva versión corregida, dejando a la red de Bitcoin vulnerable. Según el desarrollador Luck Dashjr, solo 27% de los nodos han actualizado a la versión segura del cliente más utilizado en Bitcoin.

Siete semanas después de descubrir una falla que permite un ataque de denegación de servicio (DoS) y un vector inflacionario con el que actores maliciosos podrían generar bitcoins a partir de un registro modificado, gran parte de los nodos sigue sin actualizar el cliente. Dashjr señala que 70% de los nodos tienen la actualización pendiente, sin embargo, de acuerdo a la data de Coin.dance, la cifra es menor, pues 65% de los nodos públicos ya está protegido contra el bug. Por su parte, BitNodes señala que la cantidad de nodos que actualizó a la nueva versión aumentó a 45% de los nodos de Bitcoin Core.

Es evidente la falta de datos concretos, y esto se debe a que no hay una cifra exacta de los nodos de la red, pues hay nodos de distintos tipos. Existen nodos privados, con versiones anteriores a las 0.14 o nodos sin escucha. Estas variaciones pueden complicar el conteo exacto de los nodos, pero sin lugar a dudas aún no se ha completado la actualización y esto puede tener consecuencias importantes.

Recordemos que la falla encontrada el pasado 16 de septiembre tiene dos facetas. En primera instancia, los nodos usuarios de las versiones 0.14, 0.15, 0.16.1 y 0.16.2, serían bloqueados al tratar de validar un bloque con doble gasto en la misma transacción. De explotarse maliciosamente esta vulnerabilidad, el bug puede afectar el hashrate -poder de cómputo o de procesamiento- de Bitcoin, ya que el bloqueo progresivo de mineros hubiese inhabilitado a una sección importante de la red.

En segundo lugar, el error podría ser utilizado para que un minero malicioso reclame bitcoins por medio de un doble gasto,realizado a través de la inclusión de un registro erróneo. Según explica un boletín de BitcoinCore.org, el bloqueo de los mineros maliciosos ocurría si el doble gasto implicaba la salida de la transacción falsa del mismo bloque. Sin embargo, si se intentaba el gasto desde la salida de una transacción del bloque anterior, la entrada actual seguiría como marcada y por una incongruencia semántica en la programación del código, se permitiría al minero reclamar bitcoins en dos ocasiones.

Se desconoce cuáles son las consecuencias exactas de sacar provecho de una falla de código como esta, razón por la cual se ha advertido el riesgo de no completarse la actualización 0.16.3. Lo que sí es un hecho es que las repercusiones no solo afectarían a los usuarios del cliente de Bitcoin Core, sino a todos los miembros de la red Bitcoin. Pues la falla podría disminuir el poder de procesamiento por un periodo de tiempo, que afectaría la seguridad de la minería de Bitcoin.

Sin actualizar los nodos

Las razones por las que los nodos de Bitcoin Core no han realizado la actualización pueden ser varias. Sin embargo, para Emin Gün Sirer, investigador y especialista en ciencias de la computación, la baja cifra de nodos actualizados responde al poco valor económico del parche, pues son nodos “económicamente inútiles”. Siguiendo el razonamiento de Gün Sirer, la espera es por los nodos de mayor peso económico dentro de la red, pues son estos los que darán mayor seguridad a la cadena.

Es importante destacar que en las últimas seis semanas, siguiendo las cifras de Dashjr, los nodos actualizados se han triplicado, pues, para el 27 de septiembre alcanzaban solo 9%. Sin embargo, aún queda una gran cantidad de nodos de Bitcoin Core por implementar la versión 0.16.3. Y aunque no se trata de la primera vulnerabilidad que enfrenta el protocolo de Bitcoin, ni de un error recién incluido en el cliente, la seguridad en Bitcoin es lo más importante, según su libro blanco.

Imagen destacada por WrightStudio / stock.adobe.com