Topic: Nakamoto: un nuevo cliente ligero para Bitcoin (Read 76 times)

No entiendo en qué se contradice lo que escribiste (que es totalmente correcto) con lo que escribí yo.

El tema es que Electrum (antes de versión 3.3.3) tenía este sistema de "alertas", que daba a los servidores la oportunidad de enviar mensajes a las carteras conectadas. Esto, a mi entender, era un canal de comunicación fuera de la comunicación normal entre un "nodo completo" y un "nodo SPV" y por lo tanto una función especial de electrum-server. Entiendo que en cambio en el caso de Nakamoto este canal "especial" de electrum-server no existe, y por lo tanto este tipo de phishing no es posible.

Para citar a los desarrolladores (fuente):


En lo que si tenés razón es que no se puede culpar directamente al "modelo cliente-servidor", pero este tipo de problemas aparecen cuando uno quiere meterle funciones especiales como este canal de comunicación, y lo hace vulnerable. En el caso de Nakamoto es imposible añadir un canal de comunicación de este tipo, al menos que alguien programe una versión especial de Bitcoin Core (u otro cliente "completo") diseñado para comunicarse con Nakamoto, pero según entiendo al desarrollador esto justo no es la intención sino la capacidad de usar nodos estándar.

Ahora está corregido el problema de Electrum y el peligro ya no existe.

(Yo también soy usuario de Electrum y estoy (casi) totalmente conforme, mis críticas estarían más que nada relacionadas con la amigabilidad de algunas funciones para el usuario.)

Hombre, esto puede discutirse…

Si yo hago un programa y cometo un error consecuencia del cual los usuarios del programa sufren pérdidas (de bitcoins o de datos), no podemos decir que mi programa está libre de vulnerabilidades. Es un tema humano (porque yo he pulsado una secuencia incorrecta de teclas al programar) y también técnico (porque los usuarios sufren pérdidas). Mi programa es vulnerable a determinadas condiciones porque no se comporta como un usuario promedio esperaría.

No tiene sentido que quien confía sus monedas a un software desconfíe del mismo software cuando éste le informa de que hay una nueva versión disponible. Diría incluso que el software es la fuente de actualizaciones más fiable, seguida de cerca por la web de quien lo desarrolla. Aquí electrum rompe esta expectativa y por tanto es vulnerable a la situación en la que un servidor le devuelve un mensaje que… (inserte aquí descripción del problema).

Minutos más tarde los usuarios podrían haber descubierto el pastel al descargar la "nueva" versión y verificar la firma PGP, pero esa es otra historia…

Como proyecto se ve interesante, pero apenas está en etapa inicial. Estaré pendiente ya que a futuro podría ofrecer una solución viable a Electrum,

De momento no es sabio correr a usarlo, este tipo de cosas necesitan maduración.

Lo que dijo d5000 sobre Electrum no es verdad. Eso fue un ataque de phishing que es lo mismo que convencerte de que bajes un cliente falso. No existió "vulnerabilidad" mas que la humana.

El "ataque" consistió en un mensaje falso "haz clic aquí para actualizar" que cualquier persona con sentido común (o un sistema operativo decente) ignora. Por supuesto los de Electrum cometieron el error de permitir a los servidores mostrar esos mensajes en primer lugar, pero es un tema netamente humano y no técnico, no falló ni el SPV ni el sistema cliente servidor de Electrum.

Use Electrum durante todo ese tiempo y simplemente había que ignorar los servidores que envíában ese mensaje idiota, lo cual no era particularmente difícil, en los servidores falsos no pasaban las transacciones, así que lógicamente lo cambias por uno conocido.

Por supuesto luego mejoraron la autenticación y estos servidores falsos fueron expulsados. Pero no es nada ni remotamente cercano a como dijo d5000.

Declaro que lo dicho por d5000 es total y absolutamente FALSO.

Me parece bastante interesante la siguiente característica:


En el caso de Electrum por ejemplo, se requiere conectar a un servidor que corra un software especial (electrum-server), mientras que Nakamoto (con un protocolo nuevo basado en BIP 157) aparentemente puede usar a cualquier nodo de Bitcoin (Core) como fuente para las consultas sobre bloques y transacciones. Esto ayuda a prevenir vulnerabilidades como las de Electrum 3 cuando algunos usuarios de la versión para servidores hackearon a cuentas "comunes" con un ataque de phishing.

Cabe aclarar que es un nodo SPV, es decir que valida las transacciones con un método simplificado, pero que es muy difícil de engañar y por lo tanto se puede conectar a cualquier otro nodo sin saber si es confiable o no.

También es interesante que se concentraron en minimizar las dependencias de otros software, para mejorar aún la seguridad.

Todavía no hay una cartera con funcionalidad completa, es decir hasta ahora solo se puede usar para examinar otras transacciones, no para enviar transacciones. Habrá que esperar.

Interesante cliente, aun que pienso que los recursos que consume bitcoin core no es un problema del todo, el problema real radica en los casi 300GB que se requieren para poder correr nuestro propio nodo.

Voy a leer mas sobre el cliente, imagino que aparte de el bajo consumo de recursos debe de tener algunas otras ventajas. Gracias por compartir el enlace colega 

Cabe aclarar que al principio pensé que sería un cliente con el nodo podado.

https://cloudhead.io/nakamoto/