Universidad Nacional de Singapur: más del 40% de los contratos inteligentes de Ethereum son vulnerables
Un reporte elaborado por diversos académicos de la Universidad Nacional de Singapur expuso vulnerabilidades en los contratos inteligentes que existen en la plataforma de Ethereum. En el documento se especifica que tales problemas se encuentran en la semántica del lenguaje de programación utilizado.
Los estudiantes de doctorado y profesores que elaboraron el reporte, desarrollaron una herramienta para identificar bugs de seguridad potenciales en los contratos inteligentes de Ethereum, cuyas vulnerabilidades son capaces de ser explotadas en beneficio de un potencial atacante.
Esta herramienta fue bautizada con el nombre de Oyente y, de acuerdo al documento, logró identificar 8.519 contratos inteligentes como vulnerables de un total de 19.366 existentes en Ethereum. Esto representa casi un 44% del total de los contratos inteligentes registrados en la plataforma.
Los riesgos de los contratos inteligentes de Ethereum
Aunque el reporte se enfoca en las plataformas de contratos inteligentes en general, la herramienta Oyente fue ejecutada en la red de Ethereum por ser la más popular en el ámbito de los smart contracts. Sin embargo, también se hicieron referencias a otras plataformas como Rootstock y Counterparty.
Los contratos inteligentes pueden manejar un gran número de monedas virtuales valoradas en decenas y hasta cientos de dólares cada una, haciendo que sean suficientemente altos los incentivos financieros para atraer a los atacantes. A diferencia de plataformas tradicionales de aplicaciones distribuidas, las plataformas de contratos inteligentes como Ethereum operan en redes abiertas (o sin permiso de acceso) en las que participantes arbitrarios pueden unirse. Por lo tanto, su ejecución es vulnerable ante intentos de manipulación por parte de adversarios. Una amenaza que se limita a fallos fortuitos en las redes restringidas tradicionales tales como servicios centralizados en la nube.
El reporte agrupa los bugs de seguridad de los contratos de Ethereum en tres categorías principales: la dependencia del orden de las transacciones, la dependencia de las marcas de tiempo y excepciones por mala manipulación. Donde para cada uno de los casos los autores del documento presentan ejemplos concretos y de fácil comprensión que nos ayudan a visualizar las vulnerabilidades potenciales.
Haciendo uso de los mecanismos de diseño que posee Ethereum, un atacante con adecuados conocimientos técnicos pudiese desarrollar algoritmos que le permitan explotar tales vulnerabilidades de la plataforma y sacar provecho de manera injusta, aunque permitida, en ciertos casos.
Mejorando los contratos inteligentes
El informe fue presentado con una marcada intención de crítica constructiva, donde además de identificar las vulnerabilidades que la herramienta Oyente encontró en la plataforma de Ethereum, también se presentaron soluciones concretas para ser implementadas en dicha plataforma y mejorar la seguridad de los contratos inteligentes.
De acuerdo a los tres factores que presentan bugs de seguridad en la plataforma, los investigadores de la Universidad Nacional de Singapur presentaron transacciones vigiladas, marcas de tiempo determinísticas y un mejor manejo de excepciones como soluciones posibles.
Además de ello, hicieron una presentación de la herramienta Oyente respecto a su diseño, implementación en la plataforma de Ethereum, análisis cuantitativos de los resultados obtenidos y verificaciones públicas posteriormente realizadas. Todo esto para ofrecer la herramienta a los desarrolladores de estas plataformas de contratos inteligentes en la búsqueda de sistemas más robustos y seguros.
Ethereum recibe la colaboración y apoyo de la comunidad
Los recientes sucesos relacionados con el Proyecto DAO que se ejecuta en la plataforma de Ethereum, han levantado las voces de la comunidad de las criptomonedas tanto a favor como en contra del equipo de desarrolladores que lidera Vitalik Buterin. A pesar de que el ataque realizado a la DAO tuvo cabida por una vulnerabilidad del contrato de la Organización Autónoma Descentralizada, posteriormente han surgido señalamientos que presentan al lenguaje “Solidity” como vulnerable ante situaciones similares.
A pesar de algunas críticas fuertes hacia la plataforma que tomaron popularidad, algo ha quedado claro en todo esto: la comunidad de desarrolladores y expertos en criptografía ha apoyado a Ethereum en medio de todo esta situación. Investigaciones como ésta y anteriores análisis como los presentados por el equipo del portal Hacking Distributed, dan fe de la importancia de esta plataforma de contratos inteligentes para el desarrollo de nuevas tecnologías y aplicaciones. Algo que el mismo Vitalik Buterin ha agradecido:
Thanks a lot to @el33th4xor, @phildaian and others for all their hard work on the DAO situation and ethereum smart contract security.
— Vitalik Buterin (@VitalikButerin) 21 de junio de 2016
Es prácticamente obvio que al ser Ethereum el proyecto pionero en el mundo de los contratos inteligentes, todos los riesgos y críticas recaen sobre éste. Pues esta plataforma es la referencia principal, es la que que ha recogido mayor cantidad de apoyo colectivo y es la que mayor ambición ha mostrado hasta el momento. Por ende, los fallos que presente Ethereum bien pueden ser esperados, y también necesarios, más en estos primeros años donde se están desarrollando las primeras aplicaciones innovadoras.
Informes como estos sin duda alguna deben ser considerados no solo por el equipo de Ethereum, sino también por los que desarrollan otras plataformas de contratos inteligentes. Al identificar vulnerabilidades y potenciales bugs de seguridad, se obliga a hacer una pausa y, más importante, un replanteo que busque la mejora inmediata de la plataforma en miras a ofrecer mejores alternativas tecnológicas no solo a sus usuarios, sino a la humanidad en general.
