Este 7 de septiembre la directora de la Iniciativa de Monedas Digitales del MIT Media Lab, Neha Narula, publicó un reporte sobre las vulnerabilidades de la función criptográfica Curl que está desarrollando IOTA. Como respuesta a esta publicación, el mismo día el fundador de IOTA, David Sønstebø, publicó un reporte, aun así IOTA tuvo una caída de su precio de al menos 15%.
En el informe publicado, Neha Narula, detalla sobre sus hallazgos y los de su equipo sobre las deficiencias de la función criptográfica Curl, creada por el equipo de IOTA. Esta función codifica las transacciones para que no sean posible de alterar y luego son firmadas para registrarse en la red de IOTA; la han generado con la intención de usarla para el Internet de las Cosas, lleva solo 2 años en desarrollo y es la primera hecha en un sistema numérico trinario, al igual que su red, cuando casi todo el software en la actualidad está basado en sistema binario, lo que genera la necesidad de una función que convierta las funciones de un sistema a otro. Lo cual, a su vez, demuestra que las criptografías que no han sido probadas previamente deben ser estudiadas en detalle antes de hacer que el público interactúe con dicha tecnología.
En los detalles revelados, el equipo investigador descubrió que esta función presenta fallas que pueden permitir que tanto un usuario tenga la capacidad de destruir los fondos de la transacción de otro usuario, así como la de robar los fondos de una transferencia; fallas que demostraron atacando la red las pruebas de estos ataques lo publicaron en el GitHub de la función. De acuerdo al informe, los investigadores reportaron estas vulnerabilidades al equipo de IOTA el 14 de julio de este año y en consecuencia los desarrolladores sacaron un actualización de su cliente y pidieron el cambio de todas las semillas de sus usuarios para el 7 de agosto, con la publicación de un reporte de actualización, donde hicieron público el asunto y aseguraron que mientras desarrollan adecuadamente su función criptográfica Curl, estarán usando Keccak (SHA-3) para firmar las transacciones y evitar así cualquier posible ataque.
A pesar de esta reacción, con la cual parece que arreglaron las posibles vulnerabilidades que denunciaron, parece que el equipo investigador no quedó satisfecho con esta y en su reporte mencionan otros detalles que son preocupantes para ellos, destacando que el equipo de IOTA sigue usando la función criptográfica en algunas partes de su programa. Y que el uso de criptografía que no ha sido debidamente probada puede poner en riesgo un sistema y el dinero de compañías o inversionistas.
Además de esto, mencionan sobre lo dependiente que es su red al nodo coordinador que mantiene en funcionamiento el Tangle (así denominan la red IOTA) para evitar este tipo de ataques y la falta de información que existe al respecto, siendo este un proyecto de código abierto. Otro punto, es que IOTA usa un sistema binario para su red lo que dificulta el entendimiento y buen estudio de la misma. De manera similar, no pueden usarse las herramientas de análisis de seguridad existentes, ya que la mayoría fueron realizadas en y para sistema binario.
También mencionan que el tamaño de un transacción de IOTA esta alrededor de los 10.000 bytes y hacen la comparación con los 600 bytes que tiene una transferencia en la red de Bitcoin, mostrando su consternación sobre la funcionalidad de una transferencias así en una red del Internet de las Cosas, donde los dispositivos pueden tener muy limitada capacidad de almacenamiento. Por último, resaltan sus preocupaciones sobre la falta de incentivos para evitar una ataque a la red por un grupo de mineros con una mayor capacidad de procesamiento que la red y que puedan tener la posibilidad de atacarla en un momentos de poco movimientos.
Como consecuencia, el mismo día se publicó una respuesta por parte del fundador de IOTA, David Sønstebø, donde afirmó que el 8 agosto se cambió la función de criptografía Curl a Keccab-384 para propósitos de firmado, función que afirma que ha sido bastante estudiada y comprobada. También anunció que los fondos de los usuarios no estaban en riesgo antes de esto. En este punto cabe destacar, que los investigadores afirmaron que no interactuaron con la red principal, ni probaron los ataques en ella y hasta el momento no ha sido reportado ninguna pérdida de fondos por parte de algún usuario de IOTA, por esta vulnerabilidad.
En el resto del comunicado, hace una explicación sobre las razones por la cual los ataques reportados son «excepcionalmente improbable que ocurran en la práctica» e incluso menos con el cambio de función criptográfica que han realizado. Alaba la practica académica que realizaron los investigadores y reafirma su intención de seguir desarrollando su función Curl. Cierra el comunicado, acotando que el tamaño de transacción en su red es de 1600 bytes, a diferencia de los 10.000 bytes que afirma el reporte de los investigadores.
Al ser revelado el comunicado de los investigadores y a pesar del comunicado del equipo de IOTA, su mercado reaccionó de manera casi inmediata a la baja hasta alcanzar una pérdida de su precio durante las últimas horas de casi un 15% al llegar hasta 0,6082 $/MIOTA, cuando inicialmente estaba en 0,7396 $/MIOTA. Ya para el día de hoy se ha recuperado, desde el precio anterior un 5% posicionándose en al menos 0,6412 $/MIOTA.
Cabe destacar que esta tendencia viene acompañada de la contracción en el valor estimado de las principales criptomonedas del mercado.
