-
Existe un debate sobre si Ordinals estaría aprovechando la vulnerabilidad.
-
Se han etiquetado casi 50 vulnerabilidades en Bitcoin desde 2010.
Recientemente, la Base de Datos Nacional de Vulnerabilidades de EE. UU. (NVD) etiquetó un vector de ataque en Bitcoin con una calificación de riesgo de 5,3 puntos (medio). La presunta vulnerabilidad CVE-2023-50428 se describe como una potencial puerta de entrada para ataques de spam que afecta a Bitcoin Core 0.26 y predecesores (el cliente más utilizado en la red) y las versiones anteriores a Bitcoin Knots 25.1. Los detractores de Ordinals están usando esta medida para restarle credibilidad a los proyectos relacionados con el protocolo, etiquetándolos, desde esa instancia, como atacantes.
La ficha técnica de CVE-2023-50428 indica que «los límites de tamaño del portador de datos [datacarrier] se pueden eludir ofuscando los datos como código (por ejemplo, con OP_FALSE o con OP_IF), tal como lo explotaron las inscripciones en 2022 y 2023». Esto significa, de acuerdo con la NVD, que el principal software para ejecutar Bitcoin posee una función que permite ataques de spam, aprovechada principalmente por los creadores de contenido y comerciantes de tokens y NFT que utilizan las inscripciones de Ordinals, un protocolo que permite registrar en el archivo de Bitcoin información arbitraria. Por ejemplo, imágenes, video, audio, texto e incluso tokens BRC-20, emitidos por proyectos distintos a Bitcoin.
Cuando una vulnerabilidad se añade a la base de datos de la NVD solo se emite una advertencia sobre un potencial riesgo de ciberseguridad. En principio, esto significa que la medida insta a los desarrolladores de software, en este caso de Bitcoin Core, a corregir la falla descrita. Sin embargo, no hay un consenso entre los desarrolladores que justifique el señalamiento de la NVD y mucho menos cambios en el código principal de Bitcoin.
A través del protocolo Ordinals, se han creado mercados que utilizan Bitcoin como base de datos para el almacenamiento de artefactos digitales o NFT y la emisión e intercambio de tokens BRC-20. Como consecuencia del rápido crecimiento de estos mercados en 2023, que ya es más grande que los mercados de NFT de Ethereum, se incrementó el número de transacciones en Bitcoin y se elevó el valor de las comisiones, que en la actualidad alcanzan los USD 30 para transacciones comunes, como reportó CriptoNoticias.
Esta actividad ha sido percibida de distintas maneras en la comunidad. Por un lado, quienes piensan que Bitcoin solo debería permitir transacciones monetarias consideran que los mercados de Ordinals perjudican el funcionamiento de la red, sobre todo basados en la congestión que experimentamos. Por el otro, tanto comerciantes de tokens o NFT como mineros de la red apoyan el uso de Bitcoin como base de datos, debido a las ganancias que estos mercados proporcionan.
Si los desarrolladores de Bitcoin Core tomaran cartas en el asunto y se modifica el código de Bitcoin que permite incluir inscripciones, como sugiere la NVD, no desaparecerían los mercados de tokens y NFT que utilizan Ordinals. Probablemente, como sugiere Adam Back, los creadores y comerciantes de Ordinals buscarían otra forma de crear inscripciones, porque estos mercados se han vuelto muy valiosos y resula improbable que no ingenien otra manera de archivar y transferir sus activos. En cualquier caso, la NVD no tiene potestad para obligar a los programadores a ejecutar dichos cambios, que en última instancia dependerían de un consenso más amplio de mineros, desarrolladores y usuarios que ejecuten nodos de Bitcoin.
Otra de las consecuencias directas de la medida de la NVD tiene relación con la forma en que se percibe Bitcoin en la opinión pública. Hasta ahora, el debate sobre las inscripciones se mantiene abierto y, aunque muchos desarrolladores y usuarios no apoyan el uso de Bitcoin como base de datos de tokens y de NFT, hay cierto consenso respecto a que los usuarios de Ordinals no están violando ninguna regla de Bitcoin, que además se percibe como un sistema permissionless (que no requiere permisos para ser usado) donde no tiene cabida la censura.
La opinión pública más general no necesariamente tiene conocimientos sobre los detalles técnicos o ideológicos que discuten desarrolladores y usuarios de Bitcoin cuando debaten sobre el uso de Bitcoin como base de datos. Sin embargo, el hecho de que una institución que goza de la reputación de la NVD tome posición al respecto concede a los argumentos en contra del uso de Ordinals una cierta credibilidad. A fin de cuentas, los detractores de Ordinals pueden usar esa credibilidad para ganar terreno en el debate público. La guerra fría parece haber llegado a Bitcoin.
Es un hecho que la inclusión de CVE-2023-50428 está siendo utilizada como argumento por quienes opinan que Ordinals está ejerciendo un ataque de spam sobre Bitcoin. Entre estas personas, destaca el desarrollador Luke Dashjr, quien recientemente lanzó un pool de minería denominado Ocean, que integra el protocolo Stratum V2, el cual permite a los mineros crear sus propias plantillas de transacciones, incluyendo o desechando las que más les convienen.
Lo que resulta irónico es que, en una primera etapa, el equipo de Ocean no ha desplegado todas las funciones de Stratum V2, por lo que sus administradores son quienes crean las plantillas de transacciones y desde allí toman posición para filtrar o censurar aquellas que ellos consideran spam. En la actualidad, Ocean filtra las transacciones que incluyen tokens y NFT de Ordinals, además de transacciones que utilizan el script o código de operaciones Op-Return. Este código también permite incluir datos arbitrarios en el archivo de Bitcoin y curiosamente es utilizado por el mezclador de transacciones Whirlpool de Samourai Wallet para ofuscar las transacciones que usan Coinjoin.
Como forma de catalogar y advertir sobre potenciales peligros informáticos, la NVD ha sido ampliamente utilizada por los desarrolladores de Bitcoin. De hecho, no es la primera vez que se etiqueta una vulnerabilidad relacionada con el código de Bitcoin Core. Desde 2010, se han catalogado 33 problemas de código en la base de datos de la NVD, con distintos niveles de peligro para quienes ejecutan estos software. Por ejemplo, en 2021 se etiquetó un error de programación en Bitcoin Core y Bitcoin Knots que permitía el robo de criptomonedas antes de las versiones 0.19 y 0.18 respectivamente. Los desarrolladores han corregido los problemas en todos los casos.
¿Qué permite el uso de Ordinals en Bitcoin?
Siempre ha sido posible incluir datos arbitrarios en Bitcoin a través de funciones como Op_Return o pubkey modificados (ajuste de clave pública). Desde el bloque génesis de Bitcoin, donde Satoshi Nakamoto, creador del protocolo, introdujo el titular de un periódico como una declaración de intenciones, se han registrado datos arbitrarios en este archivo. Incluso el mismo Luke Dashjr inscribió versículos de la Biblia en Bitcoin en 2011. A lo largo del tiempo, esta práctica ha tenido numerosos casos y distintos participantes.
Sin embargo, hubo un punto de inflexión con la adición de SegWit o Testigo Segregado, una mejora de Bitcoin incluida en el código a finales de 2017, luego de dos años de discusiones y correcciones. SegWit permite que las transacciones en Bitcoin sean más livianas y más económicas. Optimiza el funcionamiento de la red al segregar o separar las firmas de las transacciones que almacenan los nodos. Por lo tanto, resulta más económico inscribir información y más fácil para los nodos «podar» los datos que no son cruciales para el funcionamiento del protocolo, pues no necesitan ser guardados en la RAM.
La parte de SegWit que permite inscribir datos se conoce como «testigo», un campo de 4 MB dentro de cada bloque con tarifas reducidas para las transacciones que incluyan esos datos.
«Esta parte incentivada de cada transacción (llamada datos ‘testigo’) está destinada a cosas como scripts de Bitcoin, pero puede usarse para almacenar cualquier dato siempre que se haga de la manera ‘correcta'», explica Seth for Privacy, jefe de estrategia y marketing de la firma de desarrollo de software y hardware wallets, Foundation. «Específicamente, los Ordinals los almacenan en un ‘sobre’ entre dos códigos de operación, lo que permite que los datos cuenten como datos testigo y obtengan el descuento. Este método de almacenamiento era posible antes de SegWit, pero ahora ahorra tarifas en comparación con el uso anterior a SegWit», agrega.
En otras palabras, SegWit permite minimizar el impacto de los tokens y NFT de Ordinals. Si no existiera este mecanismo, los usuarios de Ordinals utilizaría el conjunto de las UTXO para inscribir los datos arbitrarios. Seth for Privacy piensa que «si nunca hubiéramos incluido el soft-fork SegWit en Bitcoin, la locura de los Ordinals aún habría ocurrido» y tendría peores consecuencias para la red y su archivo, que se haría más pesado y difícil de gestionar, debido a los datos de las UTXO no podrían ser podados en una primera instancia.
El debate sobre la presunta vulnerabilidad de Bitcoin no puede eludir estos problemas. Si corregir el código significa prescindir del campo que permite los datos testigo, podríamos poner en riesgo otras opciones de uso de esa función. Simplemente, filtrar ese tipo de transacciones o impedirles el uso del testigo tampoco parece la solución, porque los usuarios de Ordinals encontrarían otros métodos para inscribir datos, con posibles peores consecuencias, como sucede con los STAMPS, cuya pesada huella en la blockchain es prácticamente indeleble.
Lo que sugieren muchas personas, como Adam Back, CEO de Blockstream y una persona que fue crucial para el desarrollo de la minería de Bitcoin, es que la censura de Ordinals no tiene sentido mientras siga las reglas del juego. En cambio, habría que construir soluciones de escalabilidad como los covenats o convenios, que pudieran ser el camino para la adopción de Bitcoin como medio de pago masivo. Sin embargo, los covenants también han sido tema de debate, aunque han ganado aceptación durante el último año.
Descargo de responsabilidad: Los puntos de vista y opiniones expresadas en este artículo pertenecen a su autor y no necesariamente reflejan aquellas de CriptoNoticias. La opinión del autor es a título informativo y en ninguna circunstancia constituye una recomendación de inversión ni asesoría financiera.