La Fundación Ethereum ha publicado una publicación de blog que describe una falla de seguridad potencialmente catastrófica que podría resultar en el cierre de la red principal a un costo de valores de menos de cinco dígitos hasta que la bifurcación de Berlín se ejecute el mes pasado.
Una publicación de blog del 18 de mayo describió la vulnerabilidad como una «seria amenaza para la plataforma Ethereum» hasta que las actualizaciones de abril le permitieron esquivar la bala.
El informe describe la amenaza como un «secreto a voces» y señala que una vez se reveló públicamente accidentalmente. Tras la introducción del Berliner Gabel, la Fundación estima que la amenaza es lo suficientemente menor como para justificar una divulgación completa en este momento, afirmando:
«Es importante que la comunidad tenga la oportunidad de comprender las razones de los cambios que impactan negativamente en la experiencia del usuario, como el aumento de los costos de la gasolina y la limitación de los reembolsos».
La publicación describe que el estado de Ethereum consiste en una prueba de Patrician Merkle que compara conceptualmente nuevas cuentas en la red Ethereum con nuevas hojas que crecen en un árbol. A medida que la red Ethereum creció, se introdujeron aumentos en el costo del gas a partir de octubre de 2016 para proteger contra ataques de denegación de servicio, incluida la controvertida propuesta de mejora de Ethereum (EIP-1884).
#ÉterEste es el DoS que nunca se produjo.
Durante más de un año, la red principal podría haberse cerrado por unos pocos miles de dólares. Como lo dejamos en el pasado, es hora de arrojar algo de luz sobre estos tiempos difíciles. Https://t.co/xbPgbyWpcp
– Ir a Ethereum (@go_ethereum) 18 de mayo de 2021
En 2019, los investigadores de seguridad de Ethereum Hubert Ritzdorf, Matthias Egli y Daniel Perez se unieron para armar un exploit hecho posible por las últimas actualizaciones. El ataque desencadenó búsquedas de trie aleatorias que «pueden conducir a tiempos de bloqueo en el rango de minutos». Un informe publicado a principios de este año establece que los retrasos causados por el ataque aumentarán a medida que mejore el estado de Ethereum, «permitiendo ataques DoS eficientes contra Ethereum».
Después de que varias propuestas de los desarrolladores fueron rechazadas en el transcurso de 2020, Vitalik Buterin y Martin Swende escribieron el EIP-2929 y EIP-2930, actualizaciones que aumentan los precios de la gasolina «solo para cosas a las que aún no se ha accedido» al ataque Prevent. Los EIP se introdujeron junto con la actualización de Berlín el 15 de abril de 2021. Por lo tanto, el blog estima que la actualización de Berlín redujo la efectividad del exploit en 50 veces.
Ethereum no es la única red que, después de implementar actualizaciones para protegerse contra estas vulnerabilidades, está abordando vulnerabilidades a largo plazo.
En septiembre de 2020, los investigadores de criptografía Braydond Fuller y Javed Khan publicaron un documento que descubrió una vulnerabilidad de gravedad «alta» para las soluciones de Capa 2 basadas en BTC, como Lightning Network. Aunque se introdujo la vulnerabilidad y los autores estimaron que el 50% de los nodos de Bitcoin estaban expuestos al vector, los autores no identificaron ningún intento de explotar la vulnerabilidad.