Matt Corallo, desarrollador de Bitcoin Core y miembro actual del equipo de Spiral BTC, plantea preguntas sobre la efectividad de las mitigaciones implementadas en la red Bitcoin Lightning para abordar una vulnerabilidad descubierta recientemente por su colega Antoine Riard. “Es discutible que proporcionen poco más que una declaración de relaciones públicas”, escribió.

Corallo expresó su opinión. respondiendo a un mensaje de Riard en la lista de correo de desarrolladores de Lightning-dev y Bitcoin-Dev. En su escritura, se pregunta si los ataques de reemplazo cíclico de transacciones descubiertos en diciembre de 2022 se resolverán con las mitigaciones implementadas hasta ahora por los clientes de la red.

La vulnerabilidad denunciada por Antoine Riard a mediados de octubre se considera una amenaza potencial para la red Lightning porque es capaz de exponer los nodos a la pérdida de fondos. Específicamente, implica reemplazar transacciones con HTLC (contrato de tiempo bloqueado con hash) para cobrar el saldo de un nodo de reenvío antes de que pueda hacerlo legítimamente, como fue explicado en CriptoNoticias.

Sobre este tema, Corallo asegura que las soluciones propuestas –escanear el mempool (memoria temporal para transacciones no confirmadas) y renunciar y retransmitir transacciones– no son efectivas. Sostiene que escanear el mempool podría resultar ineficaz si un atacante se conecta rápidamente al nodo local. Iluminacióny que la renuncia y retransmisión de transacciones podría ser eludida por un atacante con una gran cantidad de poder de procesamiento.

Entonces, ¿qué propone el desarrollador de Bitcoin Core? Corallo cree que una solución eficaz podría ser que los mineros mantengan un historial de transacciones los han visto y los reintroducen en el mempool cuando es posible, especialmente después de un ataque de reemplazo cíclico.

Un peligro que no se ha materializado (aún)

Seguramente, el intercambio de ideas iniciado tras la revelación de Antoine Riard tendrá más episodios. La verdad Hasta ahora, en los últimos 10 meses no se han registrado ataques de reemplazo cíclico. desde que se detectó esta amenaza, a finales de 2022. Claramente, esta vulnerabilidad no se reveló hasta que los principales clientes implementaron actualizaciones para mitigarla, al menos parcialmente, como Corallo sugiere que terminó sucediendo.

Una aclaración importante hecha en el informe semanal. Bitcoin Optech la cosa es Este tipo de ataques sólo pueden afectar a los nodos de enrutamiento o reenvío.. Este tipo de nodos consisten en billeteras en línea (hot wallets) conectadas a un servicio de Internet y, por lo tanto, “perpetuamente a una vulnerabilidad de perder todos sus fondos”.

Por lo tanto, quien considere los efectos de los ataques de reemplazo cíclico debe considerar que esta vulnerabilidad se produce en el marco de un riesgo que ya está presente y ha sido aceptado por quien configura el nodo de reenvío.

De manera similar, el director de tecnología (CTO) de Lightning Labs, Olaoluwa Osuntokun, cree que los ataques de reemplazo cíclico son “frágiles” y cumplen requisitos que no son fáciles de cumplircomo una configuración por nodo, extrema precisión en el tiempo y la ejecución, superposición de transacciones no confirmadas y propagación instantánea a lo largo de toda la red.