YPF Argentina activa plan para minar Bitcoin con gas natural

YPF Argentina activa plan para minar Bitcoin con gas natural

Fernando Clementín (03 de Octubre, 2022). YPF Argentina activa plan para minar Bitcoin con gas natural Hechos clave: Los equipos de minería están instalados en el mismo predio de Vaca Muerta, propiedad del Estado. El proyecto genera 1 Mw y hay una segunda que...

Por qué coinjoin

Por qué coinjoin

P_Hold (19 de septiembre, 2022). Por qué coinjoin Por qué coinjoin En el sistema bancario tradicional existen garantías de privacidad transaccional que son básicas: Al recibir, el remitente del pago no puede saber cómo o dónde gastas el dinero ni a cuánto ascienden...

L161 – PoW vs PoS: Prueba de trabajo vs Prueba de participación

L161 – PoW vs PoS: Prueba de trabajo vs Prueba de participación

¿Qué es exactamente la prueba de trabajo y por qué la utilizamos en Bitcoin? ¿Por qué Ethereum está a punto de dejarla de utilizar en favor del Proof of Stake? ¿Son ambos sistemas comparables? En el podcast de hoy comparamos el PoW de Bitcoin con el PoS que quiere...

Trezor y Wasabi unen fuerzas para ofrecer CoinJoin a sus usuarios

Trezor y Wasabi unen fuerzas para ofrecer CoinJoin a sus usuarios

Fernando Clementín (05 de septiembre, 2022). Trezor y Wasabi unen fuerzas para ofrecer CoinJoin a sus usuarios Hechos clave: Ambas compañías anunciaron el desarrollo, que estará listo para 2023. Wasabi es una wallet enfocada en privacidad que ya contaba con esta...

Otra wallet añade la actualización de Bitcoin Taproot

Otra wallet añade la actualización de Bitcoin Taproot

Fernando Clementín (24 de agosto, 2022). Otra wallet añade la actualización de Bitcoin Taproot Hechos clave: Taproot permite ingresar menos datos en cada transacción con Bitcoin. Con esta adición, la wallet busca potenciar la privacidad para los usuarios. Nunchuk, una...

Este reloj de 400 mil dólares te cuenta la historia de Bitcoin

Este reloj de 400 mil dólares te cuenta la historia de Bitcoin

Jesús Herrera (01 de septiembre, 2022). Este reloj de 400 mil dólares te cuenta la historia de Bitcoin Hechos clave: Solo habrá 25 relojes bitcoiners a la venta de acuerdo con la empresa joyera. El reloj se negocia en unos USD 396 mil, sin incluir costos de envío....

Bitcoin y el oro bailan juntos en medio de la crisis

Bitcoin y el oro bailan juntos en medio de la crisis

Froilan Fernández (04 de Octubre, 2022). Bitcoin y el oro bailan juntos en medio de la crisis Hechos clave: La correlación entre BTC y el oro viene de oscilar en el último año entre -0,2 y 0,2. En la última semana, dicha correlación superó el valor de 0,3. La...

15% del sector turismo de El Salvador recibe pagos con bitcoin

15% del sector turismo de El Salvador recibe pagos con bitcoin

Marianella Vanci (04 de octubre, 2022). P15% del sector turismo de El Salvador recibe pagos con bitcoin Hechos clave: Para la ministra del sector la adopción de bitcoin está impactando de manera positiva en el turismo. Más de 100 millones de dólares se destinarán para...

Credit Suisse al borde del abismo ¿bitcoin podría rescatarlo?

Credit Suisse al borde del abismo ¿bitcoin podría rescatarlo?

Nickolas Plaza (03 de Octubre, 2022). Credit Suisse al borde del abismo ¿bitcoin podría rescatarlo? Hechos clave: Inversionistas preocupados por la ocultación de información del banco. Las acciones de Credit Suisse han caído 58% en un año. Credit Suisse, una de las...

La capacidad de la Lightning Network alcanza los 5,000 BTC

La capacidad de la Lightning Network alcanza los 5,000 BTC

JOSEPH HALL (03 de Octubre, 2022).La capacidad de la Lightning Network alcanza los 5,000 BTC El crecimiento de los Bitcoin añadidos a la capa 2, Lightning Network, se ha intensificado en el último año, alcanzando los 4,000 bitcoins hace menos de cuatro meses. Los...

La mayoría de usuarios tienen poco conocimiento de cómo funcionan las transacciones en un libro de contabilidad público y transparente como Bitcoin, o peor aún, suelen creer que la privacidad no es un aspecto importante a tener en cuenta. El pensamiento generalizado es ‘si no soy un criminal ¿Por qué debería esconder lo que hago?’ o ‘¿Por qué debería preocuparme que otros vean como uso mis Sats?’

El problema con este pensamiento es que descuida un aspecto central, los malos actores también pueden estar observando lo que haces, lo que gastas y lo que tienes. ¿Te sentirías cómodo si otros conociesen cuantos ahorros tienes en tu cuenta bancaria?¿Y si supieran lo que recibes o lo que envias? creo que la respuesta es un rotundo No, y es que el sentido común te dice que: Cuanta menos información financiera filtras a otros mayor es tu seguridad personal. Éste tipo de razonamiento es el que debe mantenerse entre usuarios de Bitcoin.

En artículos anteriores te dí algunas recomendaciones básicas y avanzadas para mantener un nivel de privacidad adecuado, hoy te explicaré cómo un agente malicioso puede llegar a saber cuántos BTC tienes ahorrados, que se da cuando tienes una actitud indiferente en relación con la privacidad y caes en un tipo de ataque que es conocido, pero poco comprendido, como son los dust attack o ataques de polvo.

No te aburriré con explicaciones teóricas que siempre dejan a las personas igual de confundidas y sin poder entender nada. Me basaré en un escenario real y en gráficos extraídos de KYCP.org y Mempool.space que son exploradores de bloques muy buenos y relativamente sencillos de usar y entender. El primero, permite ver los vinculos existentes entre las entradas y las las salidas de una transacción. El segundo, nos provee de información básica sobre las transacciones. Reconstruiré la cadena de eventos que llevó a Bob a revelar los BTC que tiene ahorrados al agente Smith (su atacante). Ambos personajes son completamente ficticios.

¿Quiénes son Bob y el agente Smith?

Bob es el usuario típico de Bitcoin, que es indiferente con la privacidad. Usa la wallet de moda que no cuenta con herramientas básicas de privacidad como el coin control y/o etiquetado. Además, está obsesionado con tener su saldo consolidado, ya que su influencer de confianza recomienda consolidar todos sus UTXOs (monedas) en una sola dirección para ahorrar fee de minería en el futuro. Bob es la víctima ideal para el agente Smith, ese que quiere conocer los ahorros de bitcoiners. El agente Smith puede ser cualquiera: El que te envió un pago o te vendió BTC, el que te compró o a quien enviaste un pago en BTC. También y cómo no,una de las empresas de chainalysis, esas que cada vez con más intensidad están espiando las transacciones de los usuarios, degradando el anonimato de Bitcoin.

El ataque

Empecemos por el final, en la siguiente imagen veremos como Bob le filtró al agente Smith su saldo total en BTC, es decir, los ahorros con los que él cuenta.

Seguro te estarás preguntando, pero, ¿Qué estamos viendo aquí?, ¿Qué son todas esas líneas y cuadros de colores?. Lo que vemos es una representación gráfica (extraída de KYCP.org) de la transacción realizada por Bob, en la que envió todos los fondos que tenía en su wallet de móvil a su hardware wallet, es lo que se conoce cómo una transacción de consolidación. Los cuadros verdes (IN. 0…9) representan cada uno de los pedacitos de bitcoin que tenía Bob en sus direcciones de la wallet del móvil y el cuadro grande rosa (OUT.0) es la nueva moneda (UTXO) que mantiene en su hardware wallet, es decir, todos los ahorros en BTC con los que cuenta Bob. El cuadro y las lineas amarillas representan un ataque ejecutado por el agente Smith a dos de las direcciones de Bob, lo que se conoce cómo un dust attack o ataque de polvo.

El agente Smith envió a dos de las direcciones que él sabía que eran de Bob una pequeña cantidad de Sats, con la intención de que Bob al ser descuidado con la privacidad de sus transacciones los usara como entradas junto con otros fondos que el agente Smith no conocía. Lo dejaré detallado en esta 2da gráfica:

El ataque fue efectivo debido a que Bob consolidó los dust (cantidades ínfimas) con otros fondos de mayor valor que el agente Smith no conocía.

Cadena de Eventos

El día 13/09/2020 Bob gastó los fondos contenidos en dos de sus direcciones,

Una hora despues el agente Smith hace un dust attack a la wallet de Bob, enviandole 547 sats a cada direcciones desde donde Bob hizo un gasto previo.

Bob no tiene ni idea de lo ocurrido, quizás ni se entera de que a sus wallet han llegado 1.094 Sats, su wallet no le da ninguna alerta de que ha recibido una cantidad ínfima de sats. En este punto puede entrar en juego la obsesión de Bob por mantener todos sus Sats consolidados en una unica dirección.

Un mes después, bob envía todos los fondos de la cartera móvil a una dirección de su hardware wallet, incluyendo los 1094 sats enviados por su atacante. Ésto revela a Smith la información que iba buscando, cuantos ahorros tenía bob en esa cartera.

En esta historia vemos como una pequeña cantidad de Sats enviados a una dirección puede causar un daño enorme en la privacidad de un usuario descuidado.

Otro Escenario

En ocasiones el agente Smith puede enviar dust attack a direcciones que ya conoce y que tienen fondos. En ese caso se puede decir que el ataque no le revelará mayor información a la que ya tiene disponible. en la siguiente imagen veremos un ejemplo.

En esta transacción si bien es cierto que Bob recibió un dust attack en una de sus direcciones, esa dirección y los fondos contenidas en ella ya era conocida por el agente Smith, por lo que al gastar los fondos juntos no se revela información adicional al atacante.

Lo que si puede generar esta situación es que Bob entre en pánico y cometa algún error que posiblemente le termine entregando mayor información de sus fondos al agente Smith.

Nunca me ha sucedido y seguramente nunca me sucederá

Pensarás que todo esto parece de ciencia ficción y que seguramente nunca te ocurrirá a ti, pero la verdad es que los dust attack y la reutilización forzada de direcciones son más comunes de lo que parece. Sin embargo, el usuario promedio no se preocupa de ello hasta que se da cuenta que ha recibido un ataque de este tipo sin saber como actuar ni qué hacer.

ID de dust attack masivos

f38af30e9c3a78fcf0be90cd2a81f6f3f91c38b36fe013bdde0e50c46fa54c89

65551b775ea3bf580667c12629fa776514f9a76a57f04dd735e878dba76dbbdc

f34977b8f192305ceb8b0d8ff5ced4867bd8aad1b0de01f2839f6e667b8dcfcd

En este 2022 empezamos a dictar talleres de privacidad en Bitcoin junto a Arkad. Dentro del temario dedicamos una parte a explicar todas las implicaciones para la privacidad que tienen este tipo de ataques y más importante aún, los participantes reciben una estrategia de cómo reaccionar y qué hacer en cada escenario. Además, realizamos ejercicios prácticos para estar preparados ante este tipo de contingencias y no cometer errores.

Próximamente estaremos abriendo plazas para que puedas participar en nuestros talleres teórico-prácticos sobre herramientas de privacidad en Bitcoin, módulo I. Daremos información por nuestras redes sociales: Arkad y P_Hold

No Confíes, Verifica