Aduana argentina decomisa 300 equipos de minería de Bitcoin

Aduana argentina decomisa 300 equipos de minería de Bitcoin

Fernando Clementín (24 de octubre, 2022). Aduana argentina decomisa 300 equipos de minería de Bitcoin Hechos clave: Los equipos habían ingresado al país de contrabando junto con otros productos. El gobierno argentino ha desmantelado granjas por diversos motivos en los...

L164 – Nostr: Solucionando la censura de una vez por todas

L164 – Nostr: Solucionando la censura de una vez por todas

En las últimas elecciones americanas y durante la pandemia, vimos la importancia que tuvieron los bloqueos y censuras en Twitter y otras redes sociales. Seguramente fruto de ese caldo de cultivo a finales de 2020 nació un nuevo protocolo de comunicaciones que buscaba...

Esta wallet permite usar Lightning sin agregar bitcoin a la red

Esta wallet permite usar Lightning sin agregar bitcoin a la red

Jesús González (23 de octubre, 2022). Esta wallet permite usar Lightning sin agregar bitcoin a la red Hechos clave: Entre las herramientas diseñas en código abierto por NBD, se encuentra una wallet para Lightning. Todas las herramientas, que incluyen un cliente para...

Trezor y Wasabi unen fuerzas para ofrecer CoinJoin a sus usuarios

Trezor y Wasabi unen fuerzas para ofrecer CoinJoin a sus usuarios

Fernando Clementín (05 de septiembre, 2022). Trezor y Wasabi unen fuerzas para ofrecer CoinJoin a sus usuarios Hechos clave: Ambas compañías anunciaron el desarrollo, que estará listo para 2023. Wasabi es una wallet enfocada en privacidad que ya contaba con esta...

Otra wallet añade la actualización de Bitcoin Taproot

Otra wallet añade la actualización de Bitcoin Taproot

Fernando Clementín (24 de agosto, 2022). Otra wallet añade la actualización de Bitcoin Taproot Hechos clave: Taproot permite ingresar menos datos en cada transacción con Bitcoin. Con esta adición, la wallet busca potenciar la privacidad para los usuarios. Nunchuk, una...

Bitcoin «en efectivo» es posible con la tarjeta Satscard

Bitcoin «en efectivo» es posible con la tarjeta Satscard

Miguel Arroyo (19 de octubre, 2022). Bitcoin «en efectivo» es posible con la tarjeta Satscard Hechos clave: Satscard es desarrollada por Coinkite, empresa desarrolladora de Opendime y Coldcard. La tarjeta solo permite conexión NFC por lo que está orientada a uso desde...

Un anillo permite hacer pagos con bitcoin y la red Lightning

Un anillo permite hacer pagos con bitcoin y la red Lightning

Jesús González (18 de octubre, 2022). Un anillo permite hacer pagos con bitcoin y la red Lightning Hechos clave: Las primeras pruebas de pagos con el anillo de Bitcoin se hicieron con Breeze, BTCPay y LNBits. El anillo es compatible con la app de CoinCorner, los...

Este reloj de 400 mil dólares te cuenta la historia de Bitcoin

Este reloj de 400 mil dólares te cuenta la historia de Bitcoin

Jesús Herrera (01 de septiembre, 2022). Este reloj de 400 mil dólares te cuenta la historia de Bitcoin Hechos clave: Solo habrá 25 relojes bitcoiners a la venta de acuerdo con la empresa joyera. El reloj se negocia en unos USD 396 mil, sin incluir costos de envío....

El Salvador comprará 1 bitcoin al día, anuncia Bukele

El Salvador comprará 1 bitcoin al día, anuncia Bukele

Juan Ibarra (17 de noviembre, 2022). El Salvador comprará 1 bitcoin al día, anuncia Bukele Hechos clave: Bukele no anunciaba compras de bitcoin para El Salvador desde julio pasado. Actualmente, El Salvador acumula 2.381 BTC en su portafolio. El presidente de El...

Nuestras impresiones de The Bitcoin Collective Conference

Nuestras impresiones de The Bitcoin Collective Conference

Esta fue la primera edición de The Bitcoin Collective, la conferencia de Bitcoin más grande del Reino Unido hasta el momento. Transcurrida durante el fin de semana que fue del Viernes 21 de octubre hasta el sábado (22 de octubre) en la capital de Escocia, Edimburgo....

Un anillo permite hacer pagos con bitcoin y la red Lightning

Un anillo permite hacer pagos con bitcoin y la red Lightning

Jesús González (18 de octubre, 2022). Un anillo permite hacer pagos con bitcoin y la red Lightning Hechos clave: Las primeras pruebas de pagos con el anillo de Bitcoin se hicieron con Breeze, BTCPay y LNBits. El anillo es compatible con la app de CoinCorner, los...

La mayoría de usuarios tienen poco conocimiento de cómo funcionan las transacciones en un libro de contabilidad público y transparente como Bitcoin, o peor aún, suelen creer que la privacidad no es un aspecto importante a tener en cuenta. El pensamiento generalizado es ‘si no soy un criminal ¿Por qué debería esconder lo que hago?’ o ‘¿Por qué debería preocuparme que otros vean como uso mis Sats?’

El problema con este pensamiento es que descuida un aspecto central, los malos actores también pueden estar observando lo que haces, lo que gastas y lo que tienes. ¿Te sentirías cómodo si otros conociesen cuantos ahorros tienes en tu cuenta bancaria?¿Y si supieran lo que recibes o lo que envias? creo que la respuesta es un rotundo No, y es que el sentido común te dice que: Cuanta menos información financiera filtras a otros mayor es tu seguridad personal. Éste tipo de razonamiento es el que debe mantenerse entre usuarios de Bitcoin.

En artículos anteriores te dí algunas recomendaciones básicas y avanzadas para mantener un nivel de privacidad adecuado, hoy te explicaré cómo un agente malicioso puede llegar a saber cuántos BTC tienes ahorrados, que se da cuando tienes una actitud indiferente en relación con la privacidad y caes en un tipo de ataque que es conocido, pero poco comprendido, como son los dust attack o ataques de polvo.

No te aburriré con explicaciones teóricas que siempre dejan a las personas igual de confundidas y sin poder entender nada. Me basaré en un escenario real y en gráficos extraídos de KYCP.org y Mempool.space que son exploradores de bloques muy buenos y relativamente sencillos de usar y entender. El primero, permite ver los vinculos existentes entre las entradas y las las salidas de una transacción. El segundo, nos provee de información básica sobre las transacciones. Reconstruiré la cadena de eventos que llevó a Bob a revelar los BTC que tiene ahorrados al agente Smith (su atacante). Ambos personajes son completamente ficticios.

¿Quiénes son Bob y el agente Smith?

Bob es el usuario típico de Bitcoin, que es indiferente con la privacidad. Usa la wallet de moda que no cuenta con herramientas básicas de privacidad como el coin control y/o etiquetado. Además, está obsesionado con tener su saldo consolidado, ya que su influencer de confianza recomienda consolidar todos sus UTXOs (monedas) en una sola dirección para ahorrar fee de minería en el futuro. Bob es la víctima ideal para el agente Smith, ese que quiere conocer los ahorros de bitcoiners. El agente Smith puede ser cualquiera: El que te envió un pago o te vendió BTC, el que te compró o a quien enviaste un pago en BTC. También y cómo no,una de las empresas de chainalysis, esas que cada vez con más intensidad están espiando las transacciones de los usuarios, degradando el anonimato de Bitcoin.

El ataque

Empecemos por el final, en la siguiente imagen veremos como Bob le filtró al agente Smith su saldo total en BTC, es decir, los ahorros con los que él cuenta.

Seguro te estarás preguntando, pero, ¿Qué estamos viendo aquí?, ¿Qué son todas esas líneas y cuadros de colores?. Lo que vemos es una representación gráfica (extraída de KYCP.org) de la transacción realizada por Bob, en la que envió todos los fondos que tenía en su wallet de móvil a su hardware wallet, es lo que se conoce cómo una transacción de consolidación. Los cuadros verdes (IN. 0…9) representan cada uno de los pedacitos de bitcoin que tenía Bob en sus direcciones de la wallet del móvil y el cuadro grande rosa (OUT.0) es la nueva moneda (UTXO) que mantiene en su hardware wallet, es decir, todos los ahorros en BTC con los que cuenta Bob. El cuadro y las lineas amarillas representan un ataque ejecutado por el agente Smith a dos de las direcciones de Bob, lo que se conoce cómo un dust attack o ataque de polvo.

El agente Smith envió a dos de las direcciones que él sabía que eran de Bob una pequeña cantidad de Sats, con la intención de que Bob al ser descuidado con la privacidad de sus transacciones los usara como entradas junto con otros fondos que el agente Smith no conocía. Lo dejaré detallado en esta 2da gráfica:

El ataque fue efectivo debido a que Bob consolidó los dust (cantidades ínfimas) con otros fondos de mayor valor que el agente Smith no conocía.

Cadena de Eventos

El día 13/09/2020 Bob gastó los fondos contenidos en dos de sus direcciones,

Una hora despues el agente Smith hace un dust attack a la wallet de Bob, enviandole 547 sats a cada direcciones desde donde Bob hizo un gasto previo.

Bob no tiene ni idea de lo ocurrido, quizás ni se entera de que a sus wallet han llegado 1.094 Sats, su wallet no le da ninguna alerta de que ha recibido una cantidad ínfima de sats. En este punto puede entrar en juego la obsesión de Bob por mantener todos sus Sats consolidados en una unica dirección.

Un mes después, bob envía todos los fondos de la cartera móvil a una dirección de su hardware wallet, incluyendo los 1094 sats enviados por su atacante. Ésto revela a Smith la información que iba buscando, cuantos ahorros tenía bob en esa cartera.

En esta historia vemos como una pequeña cantidad de Sats enviados a una dirección puede causar un daño enorme en la privacidad de un usuario descuidado.

Otro Escenario

En ocasiones el agente Smith puede enviar dust attack a direcciones que ya conoce y que tienen fondos. En ese caso se puede decir que el ataque no le revelará mayor información a la que ya tiene disponible. en la siguiente imagen veremos un ejemplo.

En esta transacción si bien es cierto que Bob recibió un dust attack en una de sus direcciones, esa dirección y los fondos contenidas en ella ya era conocida por el agente Smith, por lo que al gastar los fondos juntos no se revela información adicional al atacante.

Lo que si puede generar esta situación es que Bob entre en pánico y cometa algún error que posiblemente le termine entregando mayor información de sus fondos al agente Smith.

Nunca me ha sucedido y seguramente nunca me sucederá

Pensarás que todo esto parece de ciencia ficción y que seguramente nunca te ocurrirá a ti, pero la verdad es que los dust attack y la reutilización forzada de direcciones son más comunes de lo que parece. Sin embargo, el usuario promedio no se preocupa de ello hasta que se da cuenta que ha recibido un ataque de este tipo sin saber como actuar ni qué hacer.

ID de dust attack masivos

f38af30e9c3a78fcf0be90cd2a81f6f3f91c38b36fe013bdde0e50c46fa54c89

65551b775ea3bf580667c12629fa776514f9a76a57f04dd735e878dba76dbbdc

f34977b8f192305ceb8b0d8ff5ced4867bd8aad1b0de01f2839f6e667b8dcfcd

En este 2022 empezamos a dictar talleres de privacidad en Bitcoin junto a Arkad. Dentro del temario dedicamos una parte a explicar todas las implicaciones para la privacidad que tienen este tipo de ataques y más importante aún, los participantes reciben una estrategia de cómo reaccionar y qué hacer en cada escenario. Además, realizamos ejercicios prácticos para estar preparados ante este tipo de contingencias y no cometer errores.

Próximamente estaremos abriendo plazas para que puedas participar en nuestros talleres teórico-prácticos sobre herramientas de privacidad en Bitcoin, módulo I. Daremos información por nuestras redes sociales: Arkad y P_Hold

No Confíes, Verifica