-
B10c compiló Bitcoin Core v31.0 con Nix y obtuvo un binario idéntico al oficial.
-
Es la primera vez que una herramienta externa replica con exactitud un binario de Bitcoin Core.
Un desarrollador conocido en la comunidad Bitcoin como b10c publicó este 27 de mayo un hallazgo que amplía las herramientas disponibles para que cualquier usuario verifique la autenticidad del software que instala en su nodo.
Según documenta b10c en su blob personal, compiló el programa principal de Bitcoin Core v31.0 utilizando Nix —una herramienta de construcción de software independiente al proceso oficial— y obtuvo un resultado idéntico byte a byte al binario de lanzamiento construido por el proyecto Bitcoin Core con Guix.
Hasta este resultado, la única forma de verificar que el software oficial no había sido alterado era reproducir el proceso de compilación con Guix, la misma herramienta que utiliza el equipo de Bitcoin Core. Según explica b10c, esto significaba que la confianza del usuario dependía de una sola cadena de herramientas. Ahora, dos sistemas de compilación completamente independientes llegan al mismo resultado exacto, lo que hace técnicamente mucho más difícil que un ataque silencioso al software pase desapercibido.
Un ataque silencioso puede ejecutarse de distintos modos —en este caso se trataría de un ataque de suministro— y consiste en interceptar y modificar el software antes de que llegue al usuario final, sin que este lo detecte. En este caso un atacante compromete el repositorio de código, una dependencia de software de terceros, o el propio compilador (la herramienta que traduce el código). Si el compilador oficial de Bitcoin Core estuviera comprometido, generaría un binario malicioso de forma nativa. El equipo oficial lo firmaría digitalmente sin saber que está infectado, porque el origen mismo fue vulnerado.
Este tipo de fallos de seguridad puede resultar en la pérdida total de fondos para quienes operan nodos o wallets con software comprometido. El logro de b10c ataca directamente ese vector de riesgo en el eslabón más crítico: el propio cliente de Bitcoin.
b10c es un desarrollador independiente que contribuye de forma recurrente a la investigación técnica del ecosistema Bitcoin. Su trabajo es seguido de cerca por la comunidad por su rigor metodológico y su enfoque en la seguridad del protocolo. Este proyecto, según señala el propio desarrollador, tardó tres años en completarse.
Guix y Nix: dos cocinas que preparan el mismo plato
Para entender el hallazgo, conviene explicar qué son estas herramientas. Cuando los desarrolladores crean un programa como Bitcoin Core, escriben el código fuente —las instrucciones— y luego lo «compilan»: lo convierten en el archivo ejecutable que el usuario descarga e instala. Ese proceso de conversión lo realiza una herramienta de compilación. Es decir, llevan las instrucciones de lenguaje humano a lenguaje de máquina.
Guix es la herramienta que usa oficialmente el equipo de Bitcoin Core para producir sus binarios de lanzamiento. Nix es una herramienta distinta, desarrollada de forma independiente, con una arquitectura y un funcionamiento propios. Que ambas produzcan exactamente el mismo resultado a partir del mismo código equivale a que dos chefs, en cocinas separadas, siguiendo la misma receta con ingredientes distintos, sirvan un plato idéntico hasta en el último gramo.
La importancia radica en que si alguien hubiera manipulado el software en algún punto del proceso —ya sea en el código, en la herramienta de compilación o en el servidor de distribución— los dos resultados no coincidirían. La coincidencia exacta es, en sí misma, la prueba de que nadie intervino.
Una verificación que antes no existía
El mecanismo que hace posible este avance se llama compilación reproducible: si dos personas, usando herramientas distintas, compilan el mismo código fuente y obtienen exactamente el mismo resultado, es prácticamente imposible que alguno de los dos haya introducido cambios maliciosos sin que el otro lo detecte. b10c sostiene que este resultado convierte a Nix en la primera herramienta externa al proyecto capaz de validar de forma independiente los binarios oficiales de Bitcoin Core.
Sin embargo, b10c advierte que este logro es individual y no forma parte aún de un estándar formal adoptado por Bitcoin Core. El proyecto no cuenta con un proceso establecido para incorporar múltiples herramientas de verificación, lo que significa que la verificación cruzada entre Guix y Nix depende por ahora de iniciativas voluntarias como la suya.
El desarrollador concluye que el siguiente paso natural sería construir un modelo donde la confianza en el software de Bitcoin no recaiga en una sola cadena de herramientas, sino en múltiples verificaciones independientes que se confirmen entre sí —un principio que, señala, ya es estándar en otras áreas de la seguridad informática.
