Mineros podrían robar más de USD 400 millones de puente de Ethereum, ¿por qué no lo hacen?

Los mineros de Ethereum (ETH) tendrían las puertas abiertas para robar fondos desde el Rainbow Bridge (o puente arcoíris), un protocolo que une las cadenas de esta criptomoneda con el proyecto descentralizado NEAR y cuya seguridad es idéntica a los depósitos de garantía de tasa de hash (hashrate), mediante los cuales se pueden robar monedas si existe una confabulación minera.

De acuerdo con una investigación de Lightcoin, un sitio de análisis de los protocolos de las distintas criptomonedas, el Rainbow Bridge, que está operativo desde hace varios meses en Ethereum, puede ser objeto de un ataque y posterior robo por parte de “mineros maliciosos”.

Este puente permite el intercambio de varios tokens, que pueden correr en ambas cadenas de bloques (Ethereum y Near). Según lo explican, no hace falta confiar en nadie para el envío y recibo de monedas, excepto en la propia seguridad de las cadenas que estén conectadas. Este puente permite que cualquier información que se pueda probar criptográficamente en NEAR se utilice también en contratos de Ethereum y viceversa. En él, ahora mismo hay una importante cantidad de dinero almacenado.

Este puente, según indica el análisis, tiene un mecanismo de seguridad que opera tal como los depósitos de garantía de hashrate, que forman parte de la propuesta de mejora de Bitcoin 300 (BIP-300), que todavía no ha sido aprobada.

Un robo en Bitcoin

Según lo que indican en Lightcoin, estos depósitos de garantía de hashrate, que se usarían en la BIP-300 para firmar las transacciones (en lugar una llave criptográfica), pueden dar paso a la hipótesis de que “los mineros pueden robar”.

Esto, porque se pondrían bitcoins asignados para el uso de una cadena lateral bajo la custodia colectiva de la mayoría del hashrate de Bitcoin, es decir, bajo la vigilancia de los mineros, quienes serán los que confirmen y verifiquen las transacciones.

Entonces, si -hipotéticamente- hay mineros malignos, estos pueden ponerse de acuerdo para movilizar el BTC que esté dentro del depósito y llevarlo a cualquier dirección o conjunto de ellas, lucrándose a costa de la confianza que un usuario delegó en ellos.

Si bien los mineros solo transferirían los BTC desde el depósito de garantía de hashrate a direcciones válidas y previamente confirmadas, si confabularan para atacar al protocolo, los operadores solo tendrían que enviar todo el BTC en el depósito de hashrate a ellos mismos.

Para esto, tendrían que crear una transacción de transferencia de BTC del depósito de tasa de hash a sus propias direcciones y luego tendrían que “votar” a favor de esta transacción durante tres meses, que es el tiempo que se requiere para sacar las monedas de dicho depósito, según la BIP 300.

¿Y en Ethereum?

En el caso de Ethereum, es probable un escenario de robo similar. Esto, a través del mencionado puente, el Rainbow Bridge, que es técnicamente conocido como un “puente optimista”, un protocolo capaz de unir los activos de una cadena de bloques a otra, basándose en garantías y fondos bloqueados.

Es durante el “período de desafío” establecido por el puente entre Ethereum y NEAR donde puede ejecutarse un robo, hipotéticamente. En este tipo de protocolo, este espacio de tiempo se utiliza para que los mineros y verificadores voten a favor o en contra de una transacción. Suele durar hasta horas, dependiendo de la cadena que se esté utilizando.

En este tiempo, puede enviarse al contrato puente de la primera cadena una advertencia de que el retiro no es válido, mediante una transacción llamada “prueba de fallas”. Dicha prueba contiene los datos necesarios para convencer al protocolo de que el usuario que realizó la transacción de retiro no era realmente el propietario del activo que está tratando de retirar.

Si la prueba de falla es válida y se confirma que el retiro es falso, la transacción se cancelará y el usuario que inició el retiro no válido en esa cadena tendrá su garantía recortada, es decir, eliminada o redistribuida.

Allí es cuando entran en juego los “mineros maliciosos” que quieran robar. Para esto, explica Lightcoin, los operadores deben apelar a la manipulación. Tendrían que hacer retiros no válidos de fondos, donde esté realmente expresado el dinero bloqueado del puente, y luego censurar las pruebas de fallas por al menos cuatro horas, que son las que podrían detectar la irregularidad.

Esto, “al igual que una mayoría de poder de hash malicioso puede robar todos los fondos en un depósito de garantía de tasa de hash”, según Lightcoin, que resalta que esta es una manera de robarse los más de USD 440 millones que están bloqueados en el puente entre Ethereum y NEAR, de acuerdo con Etherscan.io.

Sobre esta posibilidad, el desarrollador de Bitcoin, Ruben Somsen, mostró su asombro. En Twitter, comentó la posibilidad de que los mineros de Ethereum se hagan con mucho dinero, con apenas censurar unas pruebas. Esto, “sin sacar conclusiones”.

Es bueno aclarar que este escenario de robo en Ethereum es plausible pero siempre que se mantenga la minería. Como ya lo hemos reportado en CriptoNoticias, esta red descentralizada camina poco a poco hacia su fusión y posterior eliminación del algoritmo de consenso Prueba de Trabajo (PoW), lo que hará innecesario el uso de hardware especializado para minar y, en consecuencia, se eliminaría esta posibilidad de ataque y robo.

Pero no robarán

Aunque hay posibilidades y hasta oportunidades para robar ahora mismo, desde Lightcoin desestiman que haya una acción negativa por parte de los mineros de Ethereum. Explican que si la hipótesis de que los mineros roban fuera cierta, se esperaría que los operadores ya hayan tomado los USD 440 millones.

“Después de todo, tienen la capacidad de hacerlo, y es una gran cantidad de valor”, explican. “Y, sin embargo, hasta ahora, incluso con la capacidad de robar una gran cantidad de valor, los mineros no han intentado ni logrado robarlo. La evidencia sugiere que, al menos en este escenario y otros similares, la hipótesis es falsa”, añaden.

¿Por qué los mineros no roban? Si bien es imposible tener certeza sobre las razones que impiden que los mineros se hagan con esos fondos, aun teniendo la capacidad, en Lightcoin apuntan a posibles conjeturas.

La primera es que la recompensa por el robo no sería lo suficientemente cuantiosa. “Tal vez el valor de su equipo de minería, operaciones, libertad (de juicios, prisión o algo peor) y el valor presente neto de futuras recompensas de bloque, combinados, valen más para la mayoría del poder de hash que el valor de 20.000 BTC”, sostienen.

Esto, ya que los mineros que decidieran lanzar el ataque probablemente no salgan ilesos, según sugiere Lightcoin. Las consecuencias por sus acciones pudieran ser varias y todas decantan en la imposibilidad de mantener operaciones.

Los mineros tampoco roban en Ethereum porque hay activos que, al ser tomados, podrían ser congelados, según Lightcoin. Esto, porque gran parte del valor que está actualmente depositado en el Rainbow Bridge tiene la forma de activos centralizados, como las stablecoins USD Coin (USDC) y Tether (USDT).

También influye la poca capacidad de confianza, sobre todo al tratarse de una mala jugada como robarse los fondos ajenos. Lightcoin sugiere que un ataque como este corre el riesgo de tener fugas de información y una consecuente reacción violenta de los usuarios de Ethereum, “lo que podría hacer caer el precio de ETH, acelerar la fusión, entre otras cosas”.

La honestidad de los mineros juega un papel importante para desestimar un robo. “Se ha demostrado que la mayoría de las personas, cuando se les presenta la oportunidad de dañar a otra persona, no la aceptan, incluso si tienen algo que ganar y saben que pueden salirse con la suya“, defienden desde Lightcoin.

Aunque esa honestidad quizá no tenga que ver con valores. El análisis sostiene que puede que los mineros sean honestos, no por altruismo, sino porque “prefieran la certeza de ganar recompensas en bloque extrayendo transacciones que pagan tarifas de mercado en lugar de la incertidumbre de arriesgarlo todo por un atraco”.

Y un último punto que podría responder al por qué no hay mineros robando los fondos en este puente, aun con la posibilidad, es que probablemente no saben de esto. “Es posible que un quórum suficiente de mineros malintencionados simplemente no sepa que existe esta oportunidad de robar”.

Cualesquiera que sean sus razones para ignorar el valor de 20.000 BTC que hay para tomar, los puentes optimistas como Rainbow Bridge en Ethereum nos muestran que hasta ahora, cuando se les presenta la oportunidad, los mineros no robarán.

Lightcoin, sitio de análisis de protocolos descentralizados.