El doble gasto en Bitcoin es una característica inevitable de la red, sin importar si es legítimo o no

Los informes de doble gasto siguen acosando a las empresas de criptomonedas y a los inversores por igual. ¿Se resolverá alguna vez este asunto, o está aquí para quedarse?

El doble gasto es un problema que ha existido desde los inicios de Bitcoin (BTC), y de acuerdo con un reciente informe de ZenGo, todavía persiste en las carteras de criptomonedas como BRD, Ledger Live y Edge.

Aunque estas compañías han actualizado sus ofertas de productos desde que ZenGo señaló esta discrepancia, se especula que millones de usuarios de criptomonedas podrían haber estado expuestos a esta particular hazaña, denominada BigSpender. Ledger, una de las empresas de wallets de criptomonedas afectadas, incluso afirmó que esta vulnerabilidad es sólo un defecto propio de la experiencia del usuario.

¿Qué es el doble gasto?

El doble gasto es un defecto que surge en las plataformas de dinero digital en las que un solo token digital puede gastarse más de una vez. Aunque no se trata de una debilidad exclusiva de la tecnología Blockchain y las criptomonedas, se convierte en un problema muy importante para los usuarios de criptomonedas. Con las monedas centralizadas, este problema se resuelve disponiendo de un tercero de confianza que verifica si la moneda ya se ha gastado.

Con las monedas descentralizadas como Bitcoin, un punto fundamental único es que ofrecen un sistema que no está vinculado a ningún banco central, con el problema del doble gasto que intenta resolverse haciendo que muchos servidores almacenen copias actualizadas del libro de transacciones públicas.

El obstáculo al que se enfrenta este enfoque es que, una vez emitidas, las transacciones llegarán a cada servidor en momentos ligeramente diferentes, y si dos transacciones intentan gastar la misma cantidad, cada servidor considerará la primera como válida y anulará la segunda. Si estos dos servidores no estuvieran de acuerdo, no habría manera de reconciliar el verdadero equilibrio, ya que la observación de cada servidor se considera válida. Cointelegraph habló del asunto con Bilal Hammoud, fundador y director ejecutivo de NDAX – un exchange de criptomonedas con sede en Canadá – quien dijo que a pesar de los problemas recurrentes, Bitcoin tiene un sistema de prevención:

«La red de Bitcoin utilizó múltiples medidas para prevenir tales ataques, como el tiempo para producir un bloque que dura una media de 10 minutos y la recomendación de confirmación de 6, lo que hace casi imposible revertir una transacción a menos que el atacante posea una importante potencia de la red».

Formas legítimas y fraudulentas

Hay miles de formas en que un usuario de criptomonedas o una entidad pueden hacer doble gasto. Mientras que algunos de estos métodos son legítimos, la mayoría son, como es lógico, fraudulentos. Algunas de las técnicas conocidas de doble gasto son los ataques de carrera, los ataques Finney, los ataques Vector76, el ya mencionado ataque BigSpender y la principal amenaza a la red Bitcoin, los ataques 51%.

Un ataque de carrera – también conocido como ataque de replace-by-fee, o RBF – ocurre cuando el comerciante o la parte receptora acepta una transacción sin ninguna confirmación. Es el más común de los dobles gastos, en el que un usuario envía una transacción a un comerciante, y una vez que la transacción ha sido aceptada y se han entregado los bienes, el atacante envía una transacción conflictiva a otra dirección con una tasa de transacción más alta, obligando a validarla antes que la transacción original. Sobre este tipo de ataque, Hammoud comentó:

«Este tipo de transacciones no siempre son fraudulentas. Los exchanges como NDAX suelen llevar a cabo estas transacciones ya que controlan un nodo de Bitcoin con un método que se llama RBF (replace-by-fee) para revertir una transacción en la que la comisión de la transacción era baja y necesitan que la transacción vaya más rápido o si el usuario del exchange envió a la dirección equivocada y el intercambio intenta revertir la transacción».

Sin embargo, un ataque de Finney es un doble gasto fraudulento que depende en gran medida de la tasa de hash de la red y requiere la participación de un minero. Este tipo de ataque es extremadamente raro en el escenario actual, ya que requiere que la tasa de hash de Bitcoin sea extremadamente baja. Un ataque de Vector76 es también un ataque raro que es una combinación de ataques de Finney y el de carrera.

La principal amenaza a la red de Bitcoin es un ataque del 51%, que podría ocurrir si un grupo de mineros que controla más del 51% del poder de hash de la red acuerda reorganizar la transacción. Esto permite a los atacantes evitar que se confirmen nuevas transacciones interrumpiendo los pagos entre algunos o incluso todos los usuarios de esa red. Este ataque también permite anular las transacciones ya realizadas, contribuyendo así al problema de la duplicación de los gastos.

Una de las bifurcaciones de Bitcoin, Bitcoin Gold (BTG), fue golpeada por un ataque de este tipo dos veces, en 2018 y 2020. Sobre este tipo particular de ataque y los atacantes, Hammoud declaró que es improbable que Bitcoin se vea afectado por él: «Este tipo de ataque es muy poco probable ya que amenaza la integridad de toda la red, tal ataque sólo puede ser coordinado si los mineros deciden destruir todo el valor de Bitcoin inutilizándolo«.

Soluciones para las criptomonedas

La forma en que las empresas de criptomonedas / wallets detectan los intentos de hacer doble gasto es a través del uso de hashes. El hash se crea utilizando un algoritmo y es esencial para la gestión de las Blockchain con las criptomonedas, ya que estas largas cadenas de números sirven como prueba de trabajo. Cuando un determinado conjunto de datos se ejecuta a través de una función de hash, sólo puede haber un único hash que se genera. Cualquier pequeño cambio en los datos creará un hash totalmente irreconocible cuando se lo compare con el generado originalmente. Los algoritmos utilizados para crear tales hashes se llaman algoritmos de consenso.

A pesar de la utilización de estos algoritmos de consenso en las redes Blockchain, se han detectado varios casos de doble gasto en los que se han visto afectados los usuarios o las propias empresas. Gregory Klumov, fundador y CEO de Stasis – un emisor de una stablecoin respaldada por el euro – habló con Cointelegraph sobre por qué el tema sigue en curso:

«Hay riesgos centralizados y descentralizados. En el primer caso, hay varios puntos de fallas para hackear en los que puedes tomar la propiedad o tomar activos o cualquier otra cosa. En el caso de una red descentralizada, la mayor parte debe ser tomada bajo control para llevar a cabo los ataques. No hay alternativa, por lo que se está debatiendo qué modelo será sostenible a largo plazo».

Sin embargo, algunos creen que esto es un defecto inherente al sistema. Mientras hablaba con Cointelegraph, Evgen Verzun, fundador de la plataforma de nubes descentralizadas Hiperesfera, reveló: «Este es uno de los defectos básicos, por lo que los creadores de sistemas deben siempre recordar sobre ello y diseñar su algoritmo de consenso de una manera de evitarlo.» Hammoud, sin embargo, tiene una opinión más liberal sobre la naturaleza de los dobles gastos, haciendo a los atacantes más responsables que el propio sistema:

«El doble gasto no es necesariamente un problema o un defecto de diseño. La mayoría de los usuarios utilizan la figura del doble gasto por razones legítimas. […] Lamentablemente, algunos malos actores se aprovechan de ello y simplemente siguiendo las reglas anteriores, como esperar las confirmaciones necesarias y desactivar las conexiones entrantes a un nodo mercantil, pueden simplemente detener el 95% de estos ataques».

¿Qué pueden hacer las empresas de wallets de criptomonedas?

Dado que las wallets de criptomonedas podrían considerarse simplemente una puerta a la Blockchain o una interfaz de acceso, sólo se pueden realizar esfuerzos limitados para negar el riesgo de doble gasto, según Hammoud, quien dijo que las carteras pueden aplicar normas que prohíban establecer tarifas de transacción bajas o crear un sistema de ledger que ponga los fondos en espera. Añadió: «Pero, por desgracia, no hay ninguna wallet que pueda ser infalible, ya que un atacante puede simplemente ejecutar su propio nodo o extraer su seed de los proveedores de wallets y utilizar un tercero para ejecutar el ataque«.

Dado que se habla actualmente del reciente ataque del RBF a varias empresas de wallets de criptomonedas apodadas «BigSpender», hay acciones que los comerciantes, los usuarios y las empresas pueden tomar para reducir las posibilidades de estos ataques en el futuro. Hammoud se hizo eco de las sugerencias hechas por Verzun, señalando: «Otra medida sería también aplicar un período de enfriamiento en el que el proveedor de wallets impida a los usuarios exportar su private seed en los 20 minutos siguientes al envío de una transacción o un pago«, añadiendo que:

«Los comerciantes y los usuarios pueden detener estos ataques esperando una confirmación en la Blockchain. Algunos comerciantes y empresas también pueden aceptar menos de 6 de confirmación, desactivando la conexión de red entrante y asegurándose de que están conectados a un nodo bien establecido».

Aunque estas soluciones son simples en su concepto, a menudo son extremadamente difíciles de implementar. Corresponde ahora a los procesos de innovación en materia de seguridad de las empresas de wallets, los comerciantes y los usuarios determinar la posibilidad de que estos fiascos de doble gasto se produzcan en el futuro. Estas innovaciones deberían ser una prioridad para todas las partes implicadas, dados los riesgos monetarios y, lo que es más importante, de reputación que afectan a los comerciantes y, en última instancia, a toda la industria Blockchain.

Sigue leyendo: