La Fundación Ethereum ha publicado una publicación en el blog que describe una vulnerabilidad potencialmente catastrófica que podría haber provocado la caída de la red principal a un costo de menos de cinco cifras hasta la ejecución del hardfork de Berlín el mes pasado.

Una publicación de blog del 18 de mayo describe la vulnerabilidad como una “amenaza grave contra la plataforma Ethereum” hasta que las actualizaciones de abril le permitieron esquivar la bala.

El informe describe la amenaza como un “secreto a voces”, y señala que una vez se dio a conocer públicamente por error. Tras la implementación de la bifurcación dura de Berlín, la fundación estima que la amenaza es lo suficientemente baja como para justificar la divulgación completa en este momento, indicando:

“Es importante que la comunidad tenga la oportunidad de comprender el razonamiento detrás de los cambios que afectan negativamente la experiencia del usuario, como el aumento de los costos de la gasolina y la limitación de los reembolsos”.

La publicación detalla que el estado de Ethereum consiste en un trie patricia-merkle, que compara conceptualmente las nuevas cuentas en la red Ethereum con las nuevas hojas que crecen en un árbol. Con el crecimiento de la red Ethereum, se implementaron aumentos en los costos del gas a partir de octubre de 2016 para proteger contra ataques de denegación de servicio, incluida la controvertida propuesta de mejora de Ethereum, o EIP-1884.

# Ethereum’s DoS que nunca llegó a existir.

Durante más de un año, la red principal podría haberse derrumbado con unos pocos miles de dólares. Como lo dejamos en el pasado, es hora de arrojar algo de luz sobre esos tiempos difíciles.

– Ir a Ethereum (@go_ethereum) 18 de mayo de 2021

En 2019, los investigadores de seguridad de Ethereum Hubert Ritzdorf, Matthias Egli y Daniel Perez se unieron para armar un exploit habilitado por las actualizaciones recientes, y el ataque desencadenó búsquedas de trie aleatorias que podrían “conducir a tiempos de bloqueo en el rango de minutos”. Un informe publicado ese año declaró que los retrasos causados ​​por el ataque se harán más largos a medida que el estado de Ethereum crezca, “lo que permite ataques DoS eficientes contra Ethereum”.

Después de que varias propuestas de los desarrolladores fueron rechazadas a lo largo de 2020, Vitalik Buterin se asoció con Martin Swende para crear EIP-2929 y EIP-2930, actualizaciones que elevaron los precios de la gasolina “solo para cosas a las que aún no se había accedido” para evitar el ataque. Los EIP se introdujeron junto con la actualización de Berlín el 15 de abril de 2021. Como tal, el blog estima que la actualización de Berlín redujo la efectividad del exploit en 50 veces.

Ethereum no es la única red que aclara las vulnerabilidades a largo plazo después de implementar actualizaciones para protegerse contra dichas vulnerabilidades.

En septiembre de 2020, los investigadores de criptografía Braydond Fuller y Javed Khan publicaron un artículo que revelaba una vulnerabilidad de gravedad “alta” para las soluciones de capa dos creadas sobre BTC, como Lightning Network. A pesar de que se introdujo la vulnerabilidad y los autores estimaron que el 50% de los nodos de Bitcoin estaban expuestos al vector, los autores no identificaron ningún intento de explotar la debilidad.