Ayudando al crecimiento del ecosistema Blockchain mediante el desarrollo de elementos fundamentales de ciberseguridad
Proyectos
Módulo de seguridad hardware BLS
Las firmas BLS se convertirán en uno de los bloques fundamentales de construcción para ETH 2.0. Sin embargo, este esquema concreto aún no es compatible con los HSM comerciales. Al desarrollar un HSM BLS de código abierto, damos a los operadores de nodos ETH 2.0 la oportunidad de incorporar fácilmente medidas de mayor seguridad. Basamos nuestra solución en la tecnología ARM TrustZone para proteger las claves privadas de los validadores.
Para nuestra PoC, hemos seleccionado la placa de desarrollo nrf9160, que, además de un ARM Cortex M33, incluye un módem LTE que podría permitirnos implementar el servidor del firmante remoto completamente dentro de la placa.
Políticas sin gas para NuCypher
El coste de gas que supone la emisión de políticas es un factor limitante para el éxito de la red NuCypher. En última instancia, los nodos NuCypher pueden ignorar las políticas, ya que poseen todas las piezas necesarias para realizar las operaciones criptográficas de la red. Por lo tanto, trasladar las políticas de re-cifrado a una blockchain privada de NuCypher formada por todos sus nodos (NUChain) no disminuye la seguridad de la red NuCypher. La principal ventaja de mover las políticas a NUChain es que los usuarios no necesitan poseer y gastar ningún gas ETH para emitir y gestionar nuevas políticas.
Estamos trabajando en una PoC para una NUChain que pueda ejecutar y gestionar políticas NuCypher. Además, también implementaremos en esta PoC, un mecanismo para informar de la disponibilidad de nodos y aplicar las correspondientes políticas de corte.
Faillapop – Un recurso de aprendizaje práctico sobre seguridad
Las vulnerabilidades en los contratos inteligentes han provocado pérdidas de miles de millones de dólares. Sin embargo, la mayoría de los recursos de formación en seguridad se centran en contratos aislados, dejando una brecha entre el conocimiento teórico y la auditoría en el mundo real. Faillapop está diseñado para llenar ese vacío.
Iniciado por José Carlos Ramírez y desarrollado junto con Marco, Faillapop es un marketplace descentralizado vulnerable por diseño, que permite a investigadores, desarrolladores y auditores practicar la identificación y mitigación de riesgos de seguridad en un entorno multicontrato realista. Inspirado en incidentes del mundo real, el protocolo integra una resolución de disputas basada en DAO, contratos proxy y votación commit-reveal.
Construido con Foundry, incluye documentación completa, un conjunto de pruebas y scripts de despliegue realistas. Fue el proyecto final de ingeniería de Marco en la Universidad de Málaga (premiado con Matrícula de Honor). Ahora es parte de nuestra iniciativa para avanzar en la educación de seguridad Ethereum a través de talleres, cursos y desafíos prácticos avanzados.
Pon a prueba tus habilidades de auditoría con Faillapop—porque la seguridad se aprende con la práctica.
Medición de los trabajadores en redes PoS
Las redes Proof of Stake (PoS) suelen requerir que los nodos trabajadores realicen algún trabajo para mantener o aumentar su participación. Medir la cantidad de trabajo realizado por cada nodo de forma segura y verdaderamente descentralizada es un gran reto. Hemos implementado una prueba de concepto (PoC) de cadena lateral para informar de los nodos trabajadores que están participando activamente en la red NuCypher, utilizando los mismos principios de Optimistic Rollups. Utilizamos Ethermint (ahora Evmos) y firmas BLS para implementar una blockchain privada NuCypher que agrega el compromiso de los trabajadores. Este compromiso agregado puede ser enviado al contrato inteligente de Ethereum para la verificación del compromiso de todos los trabajadores utilizando una única transacción de Ethereum.
Investigación
Custodia de activos digitales mediante computación multiparte segura
Una de las principales ventajas de las criptodivisas es que, al utilizar monederos no custodiados, los titulares conservan el control total sobre sus activos. Sin embargo, también existe el riesgo asociado de perder todos los activos. Una alternativa es utilizar un monedero web de custodia, a costa de depender completamente del proveedor del monedero para la gestión de los activos (e.g. Coinbase Custody). Hay otras alternativas que implican múltiples custodios, implementando algún tipo de protocolo de computación multiparte para mover los activos (e.g. tBTC).
Creemos que el SMPC es esencial para el desarrollo del ecosistema blockchain y que cada vez habrá más situaciones en las que el SMPC se utilice como bloque de construcción para habilitar nuevas funciones interesantes. Por este motivo, estamos investigando cómo puede aplicarse el SMPC a casos de uso de blockchain, analizando la idoneidad de distintos protocolos más allá de las firmas ECDSA de umbral.
Privacidad y trazabilidad en Blockchain
La transparencia es una propiedad fundamental de la cadena de bloques. Cada transacción se registra en la cadena de bloques y cualquiera puede inspeccionarla. Esta es una buena característica en muchas situaciones, pero para algunos casos de uso, la privacidad es también un requisito. Encontrar el equilibrio adecuado entre privacidad y transparencia es complicado y dependerá en gran medida de la aplicación concreta. Si pensamos en los pagos con criptomonedas, desde la perspectiva gubernamental podría ser útil poder rastrear cada transacción hasta su origen, pero desde la perspectiva individual, parece razonable asumir algún tipo de privacidad, permitiendo a los individuos decidir quién debería poder rastrear su pago. Ya existen soluciones como TornadoCash o Zcash en el ecosistema Ethereum, pero la mayoría de los pagos con criptomonedas siguen siendo completamente rastreables.
Esta situación no es exclusiva de los criptopagos. Recientemente, el Ethereum Name Service (ENS) y la Ethereum Foundation adjudicaron una RFP de desarrollo a login.xyz, una iniciativa para utilizar una cartera Ethereum para iniciar sesión fácilmente en aplicaciones web2. Esto también plantea algunos problemas de privacidad, porque puede llevar a vincular el historial de blockchain asociado a una dirección de Ethereum, en particular su saldo, con algunos datos personales. Propuestas como Verifiable Credentials, un estándar del W3C promovido por empresas como Evernym, podrían ayudar a aliviar esas preocupaciones.
Pérdida de Precisión en Solidity
Cuando trabajamos con Solidity, la pérdida de precisión es uno de esos problemas sutiles pero potencialmente devastadores que pueden colarse en tu código sin que te des cuenta… hasta que ya es demasiado tarde. Un pequeño error de cálculo puede provocar desajustes financieros importantes, mal reparto de recompensas o incluso abrir la puerta a vulnerabilidades. Entender cómo y por qué ocurre es clave para escribir contratos inteligentes seguros y fiables.
Protegiendo los clientes de Ethereum: Nuestra propuesta open-source de HSM con BLS
En agosto de 2022 compartimos nuestros primeros pasos en el desarrollo de una plataforma modular y open-source de Hardware Security Module (HSM) diseñada específicamente para entornos blockchain. Hoy queremos actualizar a la comunidad sobre el progreso que hemos logrado y por qué este trabajo es más relevante que nunca.
EIP-7702: El siguiente paso de Ethereum hacia un modelo de cuentas más flexible
En Ethereum, las cuentas de propiedad externa (EOA) y los contratos inteligentes son entidades completamente separadas, o al menos hasta ahora. Las EOAs, son controladas por claves privadas y pueden iniciar transacciones, mientras que los contratos inteligentes pueden ejecutar código cuando reciben una llamada, pero no pueden iniciar transacciones por sí mismos. El EIP-7702 reduce esta brecha al permitir que las EOAs tengan código asociado, difuminando así los límites entre ambas entidades.
Equipo
Isaac Agudo
Fundador y CEO,
Dr. en Ciencias de la Computación,
MSc en Matemáticas,
Investigador en ciberseguridad
Acerca de
Decentralized Security nació en 2021. Somos una joven startup universitaria, liderada por Isaac Agudo, que además es miembro del Network, Information and Computer Security Lab (NICS) de la Universidad de Málaga en España
CEO