Un fallo de seguridad de los NFTs podría hacerlos desaparecer

El año 2021, probablemente se recordará por ser el año en que los NFTs explotaron y el cripto arte despegó hacia la luna. El volumen total de trading de obras de arte de NFT alcanzó un récord de 205 millones de dólares durante el mes de Marzo de 2021 solo en diciembre. ¿Qué es realmente un NFT? Las siglas NFT aluden en inglés a Non Fungible Token. Algo no fungible es algo que no se puede intercambiar sin perder algo de valor.

Por ejemplo, imaginemos una entrada para el teatro que esté numerada. Si uno tiene una entrada para la primera fila y otro en la última, intercambiar esas entradas daría como resultado que uno de los usuarios perderá valor y otro lo ganará. No pasa lo mismo por ejemplo con una moneda de un euro. Si dos personas intercambian una moneda de 1 euro entre sí, ambos continuarán teniendo el mismo poder de compra.

Los NFT se hicieron populares por primera vez con los CryptoKitties, y desde entonces no han parado de evolucionar. Estos tokens no fungibles actualmente son utilizados para el arte, el gaming, los metaversos, así como para hacer facturas de envío, entre otras muchas cosas.

Por lo tanto, un NFT tiene diversos casos de uso, aunque de momento el que ha explotado con mayor fuerza es el del arte. Los NFT son tokens acuñados en blockchains cada uno de los cuales es único en sí mismo. En el caso del arte, esto resulta perfecto para administrar los derechos y la propiedad de una pieza de arte digital.

¿Qué hay detrás de una pieza de arte en NFT?

Una pieza de arte digital acuñada en un NFT se convierte en un objeto único y fácil de probar su autenticidad. Pero, y ¿desde un punto de vista técnico?. Un NFT es básicamente un contrato inteligente que apunta a una serie de metadatos, que generalmente incluyen una obra de arte en forma de imagen y proporciona información sobre el suministro, la autenticidad y la procedencia. Sería comparable a un certificado digital de autenticidad que no se puede destruir fácilmente porque está asegurado en la cadena de bloques.

La creación de un NFT puede dividirse, en términos generales, en dos pasos. Primero, gracias a una cadena de bloques se acuña el token y este pasa a ser parte del registro de contabilidad (ledger) de la blockchain en cuestión. Las cadenas de bloques son excelentes a la hora de garantizar que pequeñas cantidades de datos se guarden de manera inmutable y segura al replicar los datos en miles de computadoras distribuidas por todo el mundo.

Sin embargo, las blockchain no sirven demasiado bien para almacenar grandes cantidades de datos porque resulta extremadamente caro replicar grandes cantidades de datos en esos miles de computadoras. Aquí es cuando llegamos a la segunda parte del proceso de creación de un NFT, el almacenamiento de los datos.

Guardar toda la información de una pieza de arte digital en una blockchain es algo imposible en estos momentos, dado que el espacio de cada bloque es escaso y resultaría carísimo. Es por esto que se hace necesario encontrar otras alternativas.

La clave está en los metadatos

El protocolo ERC-721 proporciona una interfaz estándar para los tokens no fungibles. Este protocolo se utiliza para la gran mayoría de plataformas NFT tanto para gaming, como para crypto art. El standard ERC-721 permite que cada NFT pueda ser referenciado por un nombre y por una serie de detalles acerca del mismo NFT. Esto es lo que se conoce como “metadata extension” o metadatos.

Estos metadatos están representados por lo que se conoce como Token URI, o Token ID. El token URI normalmente está enlazado con una URL y esa URL se dirigirá hacia un archivo JSON que contiene los metadatos del token como por ejemplo “nombre”, “descripción”, “imagen”. Por ejemplo, en el campo “imagen” de ese archivo JSON contendría un link que nos llevaría al archivo digital real.

Los NFT tienen un fallo de seguridad

En la gran mayoría de los casos este archivo JSON no está almacenado on-chain, es decir dentro de la cadena de bloques. Por el contrario lo que sucede es que muchas veces éste simplemente queda almacenado en un servidor de la plataforma donde el NFT se compró. En el caso de que la plataforma NFT deje de funcionar, los archivos JSON de metadatos podrían perderse, haciendo que todos los NFT sean inútiles y eliminando la conexión con la ilustración o el elemento de la imagen, como explica OpenSea, plataforma NFT:

Se espera que una obra de arte digital persista a lo largo de las edades, independientemente de si el sitio web original que se utilizó para crear el arte todavía existe. Por lo tanto, es importante que sus metadatos persistan junto con el ciclo de vida del identificador de token.

Poco se habla de que, por ejemplo, cosas como esta ya están sucediendo. Editional era una plataforma que permitía la creación de NFTs y que se había utilizado para crear más de 100,000 NFTs. El proyecto cerró recientemente y “puso fin a” su popular aplicación móvil para la creación de NFTs. En el caso de Editional, las URI con los metadatos de todos los NFT creados en su plataforma están almacenados en sus servidores particulares.

Nadie puede estar seguro de que esta situación pueda sostenerse en el tiempo. Por tanto, cabe la posibilidad de que o por un descuido o por qué no es posible los servidores que almacenan estos metadatos dejen de funcionar. Esto llevaría lamentablemente a la perdida de los metadatos y a la consiguiente perdida de la información de los NFTs.

Aquí un ejemplo de la famosa obra de Beeple CROSSROAD, el cual llegó a venderse por 6,6 millones de dólares. Ante estas altas cantidades de capital, tanto el vendedor, el coleccionista Pablo Fraile, como el comprador querrán estar seguros de que la obra NFT no peligra. Como muestra Jonty Wareing, un desarrollador con una amplia experiencia en diversos campos tecnológicos, mostró como el archivo JSON apunta a un servidor de Nifty Gateway:

Sistema de archivos interplanetario al rescate.

Una forma habitual de solucionar este tema es almacenar el material gráfico y los metadatos del NFT en un protocolo descentralizado como IPFS (Sistema de archivos interplanetario). IPFS es una plataforma que se encarga del dirigir contenidos. Esto se realiza generando un hash del contenido en sí, y de esta manera se puede encontrar la copia más cercana de ese contenido cuando un usuario quiere verlo.

Por ejemplo, si hubiera 1,000 copias exactas de un NFT en servidores diferentes en todo el mundo, pero 999 de los servidores se destruyeran un día, IPFS aún podría encontrar el último que queda. El hash del contenido te diría que realmente era el contenido que estabas buscando.

Esta es la razón por la que el direccionamiento de contenido puede ser particularmente útil para los propietarios de NFTs. Sin embargo, IPFS no garantiza la persistencia, a menos que alguien se asegure continuamente de fijar el contenido o pague por el servicio.

“Check my NFT” es una plataforma que se encarga de medir la seguridad y la fiabilidad de los archivos de metadatos que contienen los NFTs. Según algunos de sus hallazgos la mayoría de los archivos que han verificado de la plataforma Nifty Gateway en IPFS fallan.

¿Qué puede hacer el comprador de un NFT para asegurar su obra?

Al comprar una obra NFT crear una copia IPFS

Pinata es una empresa basada en IPFS y Filecoin que tiene una posición particularmente sólida en el almacenamiento. El proyecto sostiene que cuando un comprador de arte compra una pieza, el comprador asume la responsabilidad del cuidado y la custodia de la misma.

Su principal argumento es, “Leonardo da Vinci es el responsable del cuidado y del mantenimiento de la Monalisa?”, ellos lo tienen claro, la respuesta es no. Entonces, ¿por qué los creadores de contenido digital, o las plataformas que los venden deberían asumir esa responsabilidad?.

La solución de Pinata, implica que el propietario de la NFT coloque una copia en IPFS y la mantenga bajo su control. De esta manera, en el caso que la copia alojada por el creador o por la plataforma que acuñó o vendió el NFT desapareciera, el propietario aún tendría una, y el hash generado por IPFS se encargaría de identificarla.

Arweave: ¿El almacenamiento eterno?

Hay otra forma en que un creador podría al menos intentar alojar contenido de forma que viva para siempre. Es un protocolo muy nuevo, pero la premisa de Arweave es que los creadores pueden pagar una vez y almacenar un archivo mientras persista la red Arweave.

Arweave es un nuevo tipo de almacenamiento que respalda los datos con donaciones sostenibles y perpetuas. Esto permite a los usuarios y a los desarrolladores almacenar datos para siempre. Arweave es como un disco duro de propiedad colectiva que permite recordar y preservar información valiosa, aplicaciones e historial de forma indefinida.

Una de las principales piezas de Arweave es la que los denominan permaweb. Una web global propiedad de la comunidad en la que cualquiera puede contribuir o recibir un pago por mantenerla. La permaweb se parece a la web normal, pero todo su contenido, desde imágenes hasta aplicaciones web completas, es permanente, se recupera rápidamente y está descentralizado.

Algunas plataformas que ofrecen la posibilidad de acuñar y de vender NFTs como por ejemplo Mintbase, ya están moviendo todos los metadatos de sus NFTs a Arweave.

Aún así, existen algunas reservas acerca de Arweave debido a que su contenido está moderado. El arte y la censura nunca se han llevado particularmente bien, y por otro lado uno de los atributos más atractivos de la red de Ethereum es que es resistente a la censura.

Soluciones de almacenamiento dentro de la cadena de bloques

Es cierto que el almacenamiento de los datos de un NFT en la cadena de bloques no es viable, debido a los costes. Sin embargo, existen algunas soluciones que pueden dejar gran parte de la obra almacenada on-chain. Aunque por el momento estas soluciones se limitan al arte generativo. Probablemente Larva Labs estaba pensando en las debilidades del almacenamiento fuera de la cadena de bloques cuando crearon Autoglyphs, como ellos lo definen:

“Los autoglyphs son el primer arte generativo “on-chain” en la cadena de bloques de Ethereum. Son un mecanismo completamente autónomo para la creación y propiedad de una obra de arte”.

En Autoglyphs, el procedimiento para crear sus patrones, deterministas y pseudoaleatorios se especifica en el mismo código del contrato inteligente del token. El patrón generado se almacena en el registro de la transacción en el momento de ser acuñado, y por tanto queda almacenado en la blockchain. De esta manera, el costo de almacenamiento es relativamente bajo en comparación con otras opciones de almacenamiento en cadena. En este caso el token ID no nos redirige hacia una URL donde se encuentra la pieza, sino que el token es la pieza.

Aún así esto deja fuera a todo aquel que no tenga nociones de programación o que no trabaje con arte generativo, como explica JBoogle, un artista y explorador de NFT:

“La obra de arte on-chain todavía está en su infancia, puesta en marcha por Larva Labs son su proyecto Autoglyphs, donde la imagen se almacena dentro del token en sí, haciéndola tan inmutable como la propia cadena de bloques. Mientras que el resto del mundo de los NFTs depende de archivos que se encuentran fuera de la cadena alojados externamente. Parece que por ahora, sin escribir sus propios contratos en lenguaje Solidity, los artistas tienen un número limitado de opciones para acuñar sus propios NFT”.

Artblocks: No hace falta aprender solidity para ser un cripto artista

Para solucionar este problema, aunque siempre moviéndonos dentro del arte generativo, artblocks ofrece una buena herramienta.

Art Blocks ofrece sus smart contracts para crear lo que ellos llaman “projects”. Cada proyecto consta de una serie de metadatos almacenados en la cadena de bloques que incluyen un script en un lenguaje como JavaScript o Processing. Estos scripts pueden generar una colección completa de obras de arte usando una “semilla” como entrada (un hash único para cada token).

Los artistas pueden presentar sus propios proyectos y después, cuando un usuario quiera adquirir uno, un algoritmo crea una versión generada aleatoriamente del contenido y lo envía a su cuenta de Ethereum. La pieza resultante puede ser una imagen estática, un modelo 3D o una experiencia interactiva. Cada obra de arte es diferente y hay infinitas posibilidades para los tipos de contenido que se pueden crear en la plataforma.

Aún así, las piezas de Art Blocks no están 100% acuñadas “on-chain” como es el caso de los Autoglyphs. Todos los ingredientes necesarios para recrear la pieza están presentes en el contrato inteligente, excepto el lenguaje del script en sí (por ejemplo, Processing). Por lo tanto, la longevidad de cada proyecto está ligada al soporte continuo de esa capa básica, por ejemplo si processing desapareciera la obra no podría recrearse en caso de pérdida.

¿Cómo comprobar la seguridad de los datos de un NFT?

Los NFTs y su uso dentro del arte están todavía en su infancia. El ecosistema avanza y se desarrolla a una gran velocidad, aún así cualquiera que esté preocupado por la longevidad y seguridad de los datos de su NFT debería asegurarse de dónde y cómo están almacenados estos metadatos.

Es cierto que muchas plataformas ya están moviendo sus metadatos a centros de almacenamiento descentralizados como IPFS, o Arweave. Aún así, aún no existe un standard que defina cuál es la mejor manera de hacer esto. Por otro lado, las plataformas no siempre comunican claramente la confiabilidad de su método de almacenamiento.

Existen algunas opciones para tener una idea de todo esto, como por ejemplo Check my NFT que ofrece un análisis de la calidad del almacenamiento de los metadatos de un NFT simplemente introduciendo la dirección del contrato del token.