Este 7 de septiembre la directora de la Iniciativa de Monedas Digitales del MIT Media Lab, Neha Narula, publicรณ un reporte sobre las vulnerabilidades de la funciรณn criptogrรกfica Curl que estรก desarrollando IOTA. Como respuesta a esta publicaciรณn, el mismo dรญa el fundador de IOTA, David Sรธnstebรธ,ย publicรณ un reporte, aun asรญ IOTA tuvo una caรญda de su precio de al menos 15%.
En el informe publicado, ย Neha Narula, detalla sobre sus hallazgos y los de su equipo sobre las deficiencias de la funciรณn criptogrรกfica Curl, creada por el equipo de IOTA. Esta funciรณn codifica las transacciones para que no sean posible de alterar y luego son firmadas para registrarse en la red de IOTA; la han generado con la intenciรณn de usarla para el Internet de las Cosas, lleva solo 2 aรฑos en desarrollo y es la primera hecha en un sistema numรฉrico trinario, al igual que su red, cuando casi todo el software en la actualidad estรก basado en sistema binario, lo que genera la necesidad de una funciรณn que convierta las funciones de un sistema a otro. Lo cual, a su vez, demuestra que las criptografรญas que no han sido probadas previamente deben ser estudiadas en detalle antes de hacer que el pรบblico interactรบe con dicha tecnologรญa.
En los detalles revelados, el equipo investigador descubriรณ que esta funciรณn presenta fallas que pueden permitir que tanto un usuario tenga la capacidad de destruir los fondos de la transacciรณn de otro usuario, asรญ como la de robar los fondos de una transferencia; fallas que demostraron atacando la red las pruebas de estos ataques lo publicaron en el GitHub de la funciรณn. De acuerdo al informe, los investigadores reportaron estas vulnerabilidades al equipo de IOTA el 14 de julio de este aรฑo y en consecuencia los desarrolladores sacaron un actualizaciรณn de su cliente y pidieron el cambio de todas las semillas de sus usuarios para el 7 de agosto, con la publicaciรณn de un reporte de actualizaciรณn, donde hicieron pรบblico el asunto y aseguraron que mientras desarrollan adecuadamente su funciรณn criptogrรกfica Curl, estarรกn usando Keccak (SHA-3) para firmar las transacciones y evitar asรญ cualquier posible ataque.
A pesar de esta reacciรณn, con la cual parece que arreglaron las posibles vulnerabilidades que denunciaron, parece que el equipo investigador no quedรณ satisfecho con esta y en su reporte mencionan otros detalles que son preocupantes para ellos, destacando que el equipo de IOTA sigue usando la funciรณn criptogrรกfica en algunas partes de su programa. Y que el uso de criptografรญa que no ha sido debidamente probada puede poner en riesgo un sistema y el dinero de compaรฑรญas o inversionistas.
Ademรกs de esto, mencionan sobre lo dependiente que es su red al nodo coordinador que mantiene en funcionamiento el Tangle (asรญ denominan la red IOTA) para evitar este tipo de ataques y la falta de informaciรณn que existe al respecto, siendo este un proyecto de cรณdigo abierto. Otro punto, es que IOTA usa un sistema binario para su red lo que dificulta el entendimiento y buen estudio de la misma. De manera similar, no pueden usarse las herramientas de anรกlisis de seguridad existentes, ya que la mayorรญa fueron realizadas en y para sistema binario.
Tambiรฉn mencionan que el tamaรฑo de un transacciรณn de IOTA esta alrededor de los 10.000 bytes y hacen la comparaciรณn con los 600 bytes que tiene una transferencia en la red de Bitcoin, mostrando su consternaciรณn sobre la funcionalidad de una transferencias asรญ en una red del Internet de las Cosas, donde los dispositivos pueden tener muy limitada capacidad de almacenamiento. Por รบltimo, resaltan sus preocupaciones sobre la falta de incentivos para evitar una ataque a la red por un grupo de mineros con una mayor capacidad de procesamiento que la red y que puedan tener la posibilidad de atacarla en un momentos de poco movimientos.
Como consecuencia, el mismo dรญa se publicรณ una respuesta por parte del fundador de IOTA, David Sรธnstebรธ, donde afirmรณ que el 8 agosto se cambiรณ la funciรณn de criptografรญa Curl a Keccab-384 para propรณsitos de firmado, funciรณn que afirma que ha sido bastante estudiada y comprobada. Tambiรฉn anunciรณ que los fondos de los usuarios no estaban en riesgo antes de esto. En este punto cabe destacar, que los investigadores afirmaron que no interactuaron con la red principal, ni probaron los ataques en ella y hasta el momento no ha sido reportado ninguna pรฉrdida de fondos por parte de algรบn usuario de IOTA, por esta vulnerabilidad.
En el resto del comunicado, hace una explicaciรณn sobre las razones por la cual los ataques reportados son ยซexcepcionalmente improbable que ocurran en la prรกcticaยป e incluso menos con el cambio de funciรณn criptogrรกfica que han realizado. Alaba la practica acadรฉmica que realizaron los investigadores y reafirma su intenciรณn de seguir desarrollando su funciรณn Curl. Cierra el comunicado, acotando que el tamaรฑo de transacciรณn en su red es de 1600 bytes, a diferencia de los 10.000 bytes que afirma el reporte de los investigadores.
Al ser revelado el comunicado de los investigadores y a pesar del comunicado del equipo de IOTA, su mercado reaccionรณ de manera casi inmediata a la baja hasta alcanzar una pรฉrdida de su precio durante las รบltimas horas de casi un 15% al llegar hasta 0,6082 $/MIOTA, cuando inicialmente estaba en 0,7396 $/MIOTA. Ya para el dรญa de hoy se ha recuperado, desde el precio anterior un 5% posicionรกndose en al menos 0,6412 $/MIOTA.
Cabe destacar que esta tendencia viene acompaรฑada de la contracciรณn en el valor estimado de las principales criptomonedas del mercado.