Vía Bitcoin Magazine
Cualquiera que tenga una cantidad no trivial de bitcoins debería considerar la seguridad de múltiples firmas, incluida la forma de mitigar posibles ataques.
La seguridad de firma múltiple, o «multisig», ofrece un conjunto diferente de garantías de seguridad que las soluciones de firma única (singlesig). Si bien creo que singlesig es una excelente forma de custodia cuando uno recién comienza con bitcoin o administra pequeñas cantidades, en mi opinión, cualquier persona que tenga una cantidad no trivial de bitcoin a largo plazo debería evaluar una opción multisig.
Es imperativo entender lo que queremos decir con «billetera» antes de presentar mi caso para un tipo frente a otro. Una billetera multisig se conoce como una «bóveda» en aplicaciones como Bitcoin Keeper y Blue Wallet, mientras que algunos también se refieren a ella como el «coordinador» o «software de coordinación». Básicamente es una billetera que puede comunicarse con múltiples dispositivos de firma y coordinarse entre ellos para firmar transacciones (generalmente usando el formato PSBT ). En comparación, una billetera singlesig habla con un solo firmante. La billetera singlesig también suele ser el firmante, lo que significa que las claves están calientes.
Por lo tanto, la superficie de ataque expuesta debido a una billetera y bóveda singlesig es similar, ya que ambos tienen roles similares. Tener un dispositivo de firma en ambos casos aumenta la seguridad e introduce nuevas superficies de ataque.
Un multisig a menudo se denomina «m-of-n», donde necesita «m claves de n» para firmar una transacción. Un descriptor de salida o configuración multisig segura de bitcoin (BSMS) es un formato que se utiliza para definir la configuración de un multisig. Esto se puede usar para recrear su configuración en otros coordinadores o para registrar el multisig con los dispositivos de firma.
Consideraciones para la custodia de Bitcoin
MINIMIZAR LA CONFIANZA
Las ventajas obvias de tener varios firmantes son reducir los puntos únicos de falla y aumentar la redundancia en su configuración. Con la ayuda de los ejemplos comunes de ataques en multisig que se incluyen a continuación, explicaré por qué esos ataques son aplicables, incluso con la custodia de singlesig. Sin embargo, con multisig, puede minimizar la confianza en cualquier entidad, ya que hay varias entidades involucradas.
ESFUERZO OPERACIONAL
La configuración y el uso de multisig pueden llevar más tiempo desde el punto de vista operativo e incluir más dificultades si no se hace correctamente. Por lo tanto, recomiendo que los usuarios solo consideren multisig para HODLing a largo plazo, donde no se anticipan transacciones regulares.
ESTABLECER LOS COSTES
Se puede lograr un multisig sólido de varios proveedores (como uno con custodia de tres de cinco) por cualquier lugar entre $ 250 y $ 600. Entonces, si tiene alrededor de 0.5 BTC (alrededor de $ 11,000 al momento de escribir este artículo), gastar menos del 10% en asegurarlo no es una mala idea, porque el valor de este bitcoin puede apreciarse muy rápidamente.
Los costos de los dispositivos de firma también se están reduciendo, por ejemplo, Tapsigner de Coinkite. Además, el uso de teclas programables no basadas en hardware le brinda opciones de costo cero, pero no se recomienda que se usen para más de una tecla en una configuración multigrado.
MITIGACIÓN DE ATAQUES COMUNES
Ahora analizaré algunos ataques que pueden ocurrir si un coordinador de custodia de llaves intenta actuar de manera maliciosa. Luego, explicaré cómo esto no es diferente de las amenazas en una configuración singlesig y qué pueden hacer las billeteras multisig para mitigar estos riesgos. Inevitablemente, la responsabilidad final recae en el usuario para garantizar que tome las medidas adecuadas, como se sugiere a continuación.
LA DIRECCIÓN DE RECEPCIÓN INCORRECTA
El ataque más directo que describiré es aquel en el que el usuario intenta recibir fondos y, en cambio, la aplicación del coordinador muestra la dirección del atacante. En tales escenarios, el software aún podría mostrar que los fondos se recibieron donde el usuario pretendía. En teoría, este ataque es posible con cualquier billetera singlesig porque el usuario confía en la billetera para generar una dirección para ellos. No hay forma de derivar direcciones manualmente de su frase de recuperación de 12 o 24 palabras.
En el caso de una billetera multisig, esto se puede mitigar verificando la dirección en los dispositivos de firma donde se registró el multisig. También puede usar otro software de coordinación, importar la misma configuración y verificar la dirección de esa manera.
REEMPLAZO DE DIRECCIÓN DE ENVÍO
Al igual que en el escenario de ataque anterior, un coordinador multisig puede reemplazar la dirección a la que intenta enviar fondos mientras construye el PSBT. La situación no será diferente en el caso de una billetera singlesig normal.
Para mitigar este riesgo, siempre se recomienda al usuario que verifique la dirección en los dispositivos de firma. Dado que los dispositivos de firma firman la transacción que contiene la dirección del destinatario (en formato PSBT), mostrará la dirección que está firmando. A menos que haya alguna colusión entre la aplicación del coordinador y los dispositivos de firma, esta es una excelente manera de minimizar la confianza en cualquiera de ellos.
CAMBIAR LA DIRECCIÓN DE CAMBIO
Un ataque menos obvio es aquel en el que una aplicación de coordinación reemplaza la dirección de cambio en su transacción. Esto significa que el cambio de la transacción irá a la dirección de un atacante. A diferencia de la dirección de envío, es posible que el usuario no verifique el cambio de dirección al enviar fondos, lo que hace que este ataque sea menos obvio. Nuevamente, no hay diferencia cuando se trata de una solución singlesig.
Aquí es donde es muy importante elegir un dispositivo de firma de verificación completa. La mayoría de los dispositivos de firma compatibles con el estándar no firmarán una transacción si no pueden identificar las direcciones de cambio.
ALTERACIÓN DEL REGISTRO
Como el coordinador también coordina el paso de registro, se puede registrar un multisig diferente de modo que el atacante controle «n» o más claves. En este caso, el dispositivo de firma no podrá identificar la dirección de recepción o cambiar la dirección correctamente. El usuario también verá la misma dirección de recepción (la del atacante) en el dispositivo de firma, y el dispositivo de firma pasará la dirección de cambio como correcta, ya que no tiene forma de confirmar si los otros cofirmantes fueron alterados o no.
Por lo tanto, se recomienda que haya «n» dispositivos registrados en su configuración. Además, confirma los detalles de configuración en todos esos dispositivos durante el registro. Otra forma de verificar el registro adecuado es configurar el mismo multisig en otro software coordinador y verificar si muestra los detalles exactos.
Por lo tanto, podría tener un multisig con un dispositivo de firma de bóveda de registro y dos firmantes ciegos. Repita el mismo proceso con otro coordinador. Ahora, verifique la configuración tanto en los coordinadores como en el dispositivo de firma de registro multisig. Puede agregar más coordinadores a la mezcla para descartar colusión.
ATAQUE DE RESCATE
Este tipo de ataque es similar al anterior, pero el atacante controla menos de «n» teclas, por lo que no puede controlar los fondos. Pero en una situación en la que pierde algunas de las claves, el atacante puede retenerlo para pedir un rescate, ya que ahora no tiene el quórum mínimo necesario. Este ataque también se puede realizar mediante la inserción de claves, donde se agregan cosignatarios adicionales a la configuración. Esto tiene el mismo efecto que reemplazar a algunos de los codeudores.
Nuevamente, verificar los detalles del cofirmante en múltiples coordinadores que necesitan registro reducirá las posibilidades de estos ataques.
UTILIZANDO LA CUSTODIA MULTISIG PARA SU BITCOIN
Para repetir: tener un quórum mínimo de dispositivos de firma registrados en multisig y verificar los detalles de la transacción (cuando tenga que hacerlos) sería una buena regla general al usar multisig.
Cuando verifique las direcciones o los detalles de configuración de la bóveda, no solo verifique el principio y el final de la cadena, ya que el atacante puede tener una cadena de aspecto similar.
Verificar si la aplicación de custodia es de código abierto y revisar su código (si es posible) también es una buena idea para algunos. La compatibilidad con estándares comunes como BSMS y PSBT garantiza que la configuración o transacción multisig se pueda transferir a otras aplicaciones para su verificación.
También creo que uno nunca puede equivocarse al probar la configuración. Una vez que tenga listo su multisig, duplique la configuración en más coordinadores. Reciba una pequeña cantidad en una aplicación y envíe una parte desde otra. Verifique que los saldos se reflejen correctamente en todos los coordinadores después de cada paso.
Referencias y lecturas adicionales:
- “ Guía de Bitcoin de seguridad 10x ”
- “ Cuán inseguras son casi todas las configuraciones multisig de billetera de hardware personal ”
Esta es una publicación invitada de Anant Tapadia. Las opiniones expresadas son totalmente propias y no reflejan necesariamente las de BTC Inc o Bitcoin Magazine.
Anant Tapadia, ingeniero informático y colaborador de los proyectos de autocustodia de Bitcoin, Bitcoin Keeper y Hexa Wallet
