Saltar al contenido

Cómo pueden saber cuántos ahorros tienes en Bitcoin

dust attack, Bitcoin, seguridad

Tiempo de lectura aprox: 4 minutos, 8 segundos

La mayoría de usuarios tienen poco conocimiento de cómo funcionan las transacciones en un libro de contabilidad público y transparente como Bitcoin, o peor aún, suelen creer que la privacidad no es un aspecto importante a tener en cuenta. El pensamiento generalizado es ‘si no soy un criminal ¿Por qué debería esconder lo que hago?’ o ‘¿Por qué debería preocuparme que otros vean como uso mis Sats?’

El problema con este pensamiento es que descuida un aspecto central, los malos actores también pueden estar observando lo que haces, lo que gastas y lo que tienes. ¿Te sentirías cómodo si otros conociesen cuantos ahorros tienes en tu cuenta bancaria?¿Y si supieran lo que recibes o lo que envias? creo que la respuesta es un rotundo No, y es que el sentido común te dice que: Cuanta menos información financiera filtras a otros mayor es tu seguridad personal. Éste tipo de razonamiento es el que debe mantenerse entre usuarios de Bitcoin.

En artículos anteriores te dí algunas recomendaciones básicas y avanzadas para mantener un nivel de privacidad adecuado, hoy te explicaré cómo un agente malicioso puede llegar a saber cuántos BTC tienes ahorrados, que se da cuando tienes una actitud indiferente en relación con la privacidad y caes en un tipo de ataque que es conocido, pero poco comprendido, como son los dust attack o ataques de polvo.

No te aburriré con explicaciones teóricas que siempre dejan a las personas igual de confundidas y sin poder entender nada. Me basaré en un escenario real y en gráficos extraídos de KYCP.org y Mempool.space que son exploradores de bloques muy buenos y relativamente sencillos de usar y entender. El primero, permite ver los vinculos existentes entre las entradas y las las salidas de una transacción. El segundo, nos provee de información básica sobre las transacciones. Reconstruiré la cadena de eventos que llevó a Bob a revelar los BTC que tiene ahorrados al agente Smith (su atacante). Ambos personajes son completamente ficticios.

¿Quiénes son Bob y el agente Smith?

Bob es el usuario típico de Bitcoin, que es indiferente con la privacidad. Usa la wallet de moda que no cuenta con herramientas básicas de privacidad como el coin control y/o etiquetado. Además, está obsesionado con tener su saldo consolidado, ya que su influencer de confianza recomienda consolidar todos sus UTXOs (monedas) en una sola dirección para ahorrar fee de minería en el futuro. Bob es la víctima ideal para el agente Smith, ese que quiere conocer los ahorros de bitcoiners. El agente Smith puede ser cualquiera: El que te envió un pago o te vendió BTC, el que te compró o a quien enviaste un pago en BTC. También y cómo no,una de las empresas de chainalysis, esas que cada vez con más intensidad están espiando las transacciones de los usuarios, degradando el anonimato de Bitcoin.

El ataque

Empecemos por el final, en la siguiente imagen veremos como Bob le filtró al agente Smith su saldo total en BTC, es decir, los ahorros con los que él cuenta.

Seguro te estarás preguntando, pero, ¿Qué estamos viendo aquí?, ¿Qué son todas esas líneas y cuadros de colores?. Lo que vemos es una representación gráfica (extraída de KYCP.org) de la transacción realizada por Bob, en la que envió todos los fondos que tenía en su wallet de móvil a su hardware wallet, es lo que se conoce cómo una transacción de consolidación. Los cuadros verdes (IN. 0…9) representan cada uno de los pedacitos de bitcoin que tenía Bob en sus direcciones de la wallet del móvil y el cuadro grande rosa (OUT.0) es la nueva moneda (UTXO) que mantiene en su hardware wallet, es decir, todos los ahorros en BTC con los que cuenta Bob. El cuadro y las lineas amarillas representan un ataque ejecutado por el agente Smith a dos de las direcciones de Bob, lo que se conoce cómo un dust attack o ataque de polvo.

El agente Smith envió a dos de las direcciones que él sabía que eran de Bob una pequeña cantidad de Sats, con la intención de que Bob al ser descuidado con la privacidad de sus transacciones los usara como entradas junto con otros fondos que el agente Smith no conocía. Lo dejaré detallado en esta 2da gráfica:

El ataque fue efectivo debido a que Bob consolidó los dust (cantidades ínfimas) con otros fondos de mayor valor que el agente Smith no conocía.

Cadena de Eventos

El día 13/09/2020 Bob gastó los fondos contenidos en dos de sus direcciones

Gasto previo de Bob.

Una hora después el agente Smith hace un dust attack a la wallet de Bob, enviándole 547 sats a cada direcciones desde donde Bob hizo un gasto previo.

Dust attack a las direcciones vacías de Bob (reutilización forzada)

Bob no tiene ni idea de lo ocurrido, quizás ni se entera de que a sus wallet han llegado 1.094 Sats, su wallet no le da ninguna alerta de que ha recibido una cantidad ínfima de sats. En este punto puede entrar en juego la obsesión de Bob por mantener todos sus Sats consolidados en una unica dirección.

Un mes después, bob envía todos los fondos de la cartera móvil a una dirección de su hardware wallet, incluyendo los 1094 sats enviados por su atacante. Ésto revela a Smith la información que iba buscando, cuantos ahorros tenía bob en esa cartera.

Transacción de consolidación de los fondos reales de Bob y los dust enviado por el agente Smith.

En esta historia vemos como una pequeña cantidad de Sats enviados a una dirección puede causar un daño enorme en la privacidad de un usuario descuidado.

Otro Escenario

En ocasiones el agente Smith puede enviar dust attack a direcciones que ya conoce y que tienen fondos. En ese caso se puede decir que el ataque no le revelará mayor información a la que ya tiene disponible. en la siguiente imagen veremos un ejemplo.

En esta transacción si bien es cierto que Bob recibió un dust attack en una de sus direcciones, esa dirección y los fondos contenidas en ella ya era conocida por el agente Smith, por lo que al gastar los fondos juntos no se revela información adicional al atacante.

Lo que si puede generar esta situación es que Bob entre en pánico y cometa algún error que posiblemente le termine entregando mayor información de sus fondos al agente Smith.

Nunca me ha sucedido y seguramente nunca me sucederá

Pensarás que todo esto parece de ciencia ficción y que seguramente nunca te ocurrirá a ti, pero la verdad es que los dust attack y la reutilización forzada de direcciones son más comunes de lo que parece. Sin embargo, el usuario promedio no se preocupa de ello hasta que se da cuenta que ha recibido un ataque de este tipo sin saber como actuar ni qué hacer.

¿Alguien más ha sido víctima de un ataque de polvo bitcoin? Me han enviado 547 sats a un montón de direcciones de mi billetera….

Artículo escrito por P_hold

Aprender y enseñar sobre Bitcoin son de las actividades que más disfruto. Si  quieres apoyar mi trabajo, en temas de Seguridad y Privacidad en el uso de Bitcoin, puedes hacer una libre aportación via  on chain 🙌
P_Hold

Paynyms (Samourai Wallet)

PM8TJLCBidk5DFPG8Q8HwpRthCEQRJm5BRCzgUPdVYzJnRqfTH4WzKBkdCk5HnBBmfCtuVhuuB9ipvyu89AjiZ6XDe9TpefZdj7wEjR8Cp2LMX9Zzndp +muddymath92c