Eso mismo. El hilo en que se comentó aquí en español es: https://bitcointalk.org/index.php?topic=325446.0

Si buscas "selfish mining" en el foro, encontrarás numerosas discusiones en inglés sobre el tema.

Estoy de acuerdo en que la ofuscación que dan las direcciones de cambio es reducida. Pero hay otra razón más importante por la que se desaconseja reutilizar direcciones. Cuando se hace un pago de una dirección 1a a otra dirección 1b, se publica en la transacción la clave pública de 1a, pero no la de 1b. Esto quiere decir que la red Bitcoin contiene a la vista de todo el mundo las claves públicas de las direcciones que han sido origen de transferencias. Debido a eso, si todo mi saldo se encuentra en direcciones que nunca han sido origen de pagos podré dormir más tranquilo, ya que estoy protegido por la seguridad criptográfica de tres operaciones: 1/ la generación aleatoria de la clave privada, 2/ el cálculo de clave pública mediante el algoritmo ECDSA y 3/ el cálculo de dirección mediante dos rondas de SHA-256 (edito: y una de RIPEMD-160). Quienes reutilizan direcciones pierden este tercer nivel de seguridad. Esto sería fatal si un día alguien rompiera el algoritmo ECDSA encontrando un algoritmo inverso para pasar de la clave pública a la privada. En ese momento, y hasta que se introdujera una nueva forma más sofisticada de firma digital, todas las direcciones reutilizadas pasarían a ser inseguras, mientras que las no reutilizadas estarían protegidas por SHA-256 (edito: y RIPEMD-160).

La página de "Monedero de papel" es una de las que traduje yo hace tiempo. Si nadie se me adelanta, intentaré revisarla/actualizarla en los próximos días.

Una observación respecto al punto 6 de tu descripción (por lo demás impecable): utilizar una única dirección de ahorro supone un riesgo muy alto. Al llegar a tu punto 1 después de la jubilación, estarías exponiendo la totalidad de tus ahorros. Esto es peligroso tanto en lo que respecta a la seguridad (podríamos cargar la clave privada en un ordenador con algún tipo de malware) como a la privacidad (en la primera transacción que hagamos se verá el total de nuestros ahorros). Por eso, creo que lo más recomendable es hacerse unas cuantas direcciones de ahorro.

Por ejemplo, alguien que tenga 100 BTC podría tener cuatro direcciones con 20 BTC y otras cuatro con 5 BTC. De esa manera, con los ahorros repartidos en ocho direcciones, en el momento en que necesite gastar 3 BTC, le bastará con exponer una de las direcciones de 5 BTC, sin poner en riesgo el resto de ahorros.

Tanto bitaddress.org como bitcoinpaperwallet.com (internamente basado en el código del primero) son dos recursos excelentes. El riesgo de utilizarlos en línea es muy bajo pero, lógicamente y como se comenta más arriba, es más seguro guardar copias offline y generar las direcciones desde un ordenador no conectado a Internet, especialmente si uno quiere destinar las direcciones generadas a guardar los ahorros a largo plazo. En el caso de bitaddress.org, hacer una copia offline es muy sencillo porque todo el código HTML, CSS y JavaScript está autocontenido en un único fichero HTML.

En el caso de precaución extrema en que hubiéramos generado las direcciones en un ordenador y una impresora no conectados a Internet (ni ahora ni nunca) y que no tuviéramos dudas sobre la autenticidad del código ejecutado, la única vulnerabilidad posible estaría en algún fallo en la generación de números aleatorios del código en JavaScript. A veces se ha planteado la duda de que la calidad de los números aleatorios en este tipo de programa escrito en JavaScript pudiera no ser tan sólida como la de los ejecutables tipo Bitcoin-Qt o Electrum, que aprovechan la funcionalidad criptográfica del sistema operativo. En cualquier caso, pointbiz, autor de bitaddress.org (https://bitcointalk.org/index.php?action=profile;u=17857), continúa mejorando la herramienta y, por lo que se comenta en los mensajes más recientes del hilo relacionado en el subforo de Service Announcements, se prevé incorporar próximamente la función de JavaScript window.crypto.getRandomValues, que los navegadores web están empezando a proporcionar y que, suponiendo que esté bien implementada, debería garantizar el mismo nivel de seguridad que un programa ejecutable.

Personalmente, confío en bitaddress.org para mis ahorros porque lleva ya un par de años funcionando sin que nadie haya descubierto nunca ningún tipo de vulnerabilidad. Al tratarse de código autocontenido en un único fichero HTML, la única posibilidad de fraude sería que el autor generara claves privadas con trampa, pero estoy seguro de que algo tan burdo se habría descubierto ya. No obstante, la posibilidad de que haya debilidades en la generación de claves de las versiones más antiguas con las que generé mis direcciones de ahorro sí me está empezando a preocupar ahora que el cambio del Bitcoin está alcanzando niveles de vértigo y estoy pensando en pasar parte de mis bitcoins a direcciones generadas con Bitcoin-qt (de la manera descrita arriba por fernarios) para no depender de un solo sistema de generación de claves.

En una palabra: no.

Ten en cuenta que no existe el concepto de "cada bitcoin individual". El protocolo no conoce unidades individualizadas, sino simplemente transacciones que mueven valores numéricos de las entradas a las salidas. En el artículo original de Satoshi Nakamoto, se define "coin" como una de estas transferencias de valor de un punto a otro, pero la cantidad transferida puede ser cualquier valor. Este es el significado que se da habitualmente a la expresión "one coin" en las discusiones más técnicas, como las del subforo Development and Technical Discussion. En este sentido, una "coin" de 1 BTC es equivalente a una "coin" de 0,12345678 BTC, excepto por nuestra percepción humana de que la primera es una cantidad redonda.

Sí es posible rastrear los bitcoins robados desde la transacción que identificamos como robo, pero solo hasta que esa cantidad se empieza a mezclar con otras. Supongamos que hemos identificado un robo de, pongamos, 2,5 BTC. Hemos encontrado la transacción en blockchain.info y sabemos qué dirección Bitcoin ha recibido esa cantidad. A continuación, vemos que el ladrón ha hecho diez pagos de 0,25 BTC a diez direcciones nuevas. En ese momento, podemos decir que esas transacciones están manchadas o marcadas ("tainted") en un 100% (desde nuestra perspectiva humana en que asociamos las transacciones a un acto inmoral, claro; el algoritmo no sabe de buenos ni malos). En ese momento, conocemos las diez direcciones en que está repartido el botín del robo. El problema aparece cuando las cantidades manchadas se mezclan con otras limpias. Una de esas cantidades de 0,25 podría hacer de entrada de una transacción posterior por valor de 1 BTC en que se mezcla con otra entrada de 0,75 BTC limpios, que no proceden del botín. Esa transacción estará manchada solamente en un 25%. Este proceso de mezcla a través de los inputs es lo que va diluyendo la rastreabilidad del robo.

Los intentos de marcar estas monedas robadas chocan con varios inconvenientes. Por un lado, hay un componente arbitrario en la decisión de marcar ciertas transferencias Bitcoin como inmorales. Los robos de bitcoins por parte de hackers parecen un caso claro para la mayoría, pero también habrá quienes no quieran aceptar bitcoins procedentes del FBI o de otros individuos u organizaciones; ahí entramos en terreno muy resbaladizo. Además, este tipo de rechazo selectivo afectaría a la fungibilidad de los bitcoins; si se generaliza la idea de rechazar bitcoins con un cierto porcentaje de "taint", habría diferencias entre saldos limpios y saldos más o menos sucios, lo cual podría poner en peligro el prestigio de Bitcoin como moneda.

Cuando hablaba de un ordenador que "ni esté ni vaya a estar nunca conectado a Internet", incluía evidentemente cualquier dispositivo conectado a ese ordenador. Si no hay conexión a Internet, por muchos gusanos, virus y troyanos que haya ahí dentro o en las memorias externas, las claves privadas nunca podrán escapar de ahí.

El único vector de ataque que se me ocurre en este caso (aparte de fallos criptográficos en el software utilizado) sería que algo lograra suplantar a la herramienta utilizada para generar las direcciones. Por ejemplo, que cuando el usuario crea estar ejecutando "multibit.exe" se estuviera ejecutando, en su lugar, un "parezco_multibit_je_je.exe", que generara direcciones controladas por el atacante. Para evitar eso, habría que asegurarse de comprobar la firma digital del ejecutable y de que ni el programa que verifica la firma digital ni la referencia que utilizamos para comprobarla han sido suplantados, claro. Si nos ponemos paranoicos, al final no nos podemos fiar de nada. 

No es totalmente seguro. Hay al menos dos riesgos:

1. Cuando creaste la cartera estando en línea, podrías haber tenido un virus en tu ordenador que hubiera leído las claves privadas generadas por Multibit y las hubiera enviado por la red a un atacante.

2. Cuando borras un fichero en un sistema operativo, los bytes siguen estando físicamente en la memoria; solamente se borra la indexación de esos bytes, por lo que alguien que se hiciera con tu ordenador podría ser capaz de encontrar restos del archivo .wallet. Para evitar este riesgo, deberías borrar el fichero mediante herramientas de eliminación segura de archivos (que sobreescriben varias veces la memoria borrada). En Wikipedia tienes una lista de programas de este tipo: https://en.wikipedia.org/wiki/List_of_data_erasing_software

Debido al punto 1, nunca se puede garantizar la seguridad total de direcciones creadas en un ordenador conectado a Internet. La manera de tener direcciones frías (offline) seguras consiste en generarlas en un ordenador que ni esté ni vaya a estar nunca conectado a Internet. En ese caso, el único riesgo que correrías sería que hubiera vulnerabilidades en el generador de números aleatorios utilizado (esto pasó recientemente con las bibliotecas criptográficas de Java en Android).

Cuando se calcula el valor hash de un bloque se va incrementando un valor numérico, como dices, pero el resultado del hash obtenido sigue una distribución indistinguible de la aleatoria (si no, el SHA-256 no sería un buen algoritmo de hash). El proceso es por tanto indistinguible de lanzar al aire un dado de 2²⁵⁶ caras. Los demás mineros que compiten contigo también van incrementando sus valores nonce (y extraNonce, o cambiando otros datos) pero trabajan sobre cabeceras de bloque diferentes, por lo que los valores de hash que obtienen son distintos. Por eso da igual que un minero haya empezado a trabajar antes que otro sobre un cierto bloque N. Los dos tendrán igual probabilidad de encontrar un hash válido en cada intento.

He leído rápido el hilo y me llama la atención de que nadie haya mencionado que este tipo de estrategia de minado, al que Eyal y Sirer han llamado "selfish mining", ya se discutió en este mismo foro en el año 2010:

https://bitcointalk.org/index.php?topic=2227.0

Si leéis ese hilo, veréis que prácticamente la misma idea estaba ya recogida en los mensajes de Thorning, btchris, mtgox y ByteCoin. Lo único que han aportado Eyal y Sirer (aparte del circo mediático) son cálculos de probabilidades más detallados, aunque no está del todo claro hasta qué punto son válidos ya que contienen simplificaciones como ignorar la latencia de la red o la posibilidad de que compitan entre sí varios de estos carteles egoístas (ellos dicen que esto se hace "without loss of generality", pero no lo acabo de ver claro). La parte más problemática aparece cuando asumen que ese cartel minero, aun estando en minoría en potencia de hash, tendría sin embargo una conectividad excelente y sería capaz de evitar que sus bloques publicados con posterioridad para igualar la altura de la cadena de bloques se quedaran huérfanos (en el paso en que dicen en la p. 7 "This yields a toss-up where either side may win"). Eso es difícil hoy en día a menos que se controle un gran número de nodos (no necesariamente mineros) en la red, razón por la cual en los hilos en inglés se comenta que la estrategia implica una forma de ataque de Sybil, en la que el cartel minero crearía una multitud de nodos, una especie de agentes del cartel, para apoyar sus intereses favoreciendo la propagación de sus bloques y bloqueando los de la competencia.

En definitiva, tanto la idea del cartel minero que se guarda bloques como los ataques de Sybil se han discutido en multitud de ocasiones y parece que este artículo ha tenido muchísima más repercusión mediática de la que merece.

Una iniciativa muy interesante. Si se consiguiera montar uno de estos cajeros en España, se podría lograr que tuviera una cierta repercusión mediática y sin duda eso haría crecer el interés en Bitcoin. Sería un buen éxito de quienes intentamos promover el uso de Bitcoin en nuestro país.

Mis mayores dudas respecto a esta iniciativa, no obstante, se centran en la viabilidad de mantener una de estas máquinas funcionando de forma permanente. Una vez instalada en algún lugar de Madrid o Barcelona y pasado el efecto mediático de la novedad, ¿podríamos esperar que hubiera realmente tanta gente interesada como para mantenerla funcionando? ¿Se plantearía la sociedad como un negocio que se llevara una pequeña comisión de las ventas de bitcoins? ¿O como una iniciativa puramente altruista para promover Bitcoin sin intención de recuperar las cantidades aportadas? En este segundo caso, no veo viable que se pueda mantener un flujo de donativos solo para mantener la máquina activa.

En el caso de que la sociedad se planteara como un negocio, la mayor pega que le veo a estas máquinas de Lamassu, a diferencia de las de Robocoin, es el hecho de que permiten comprar bitcoins, pero no venderlos. Los cajeros automáticos actuales son útiles porque nos permiten sacar billetes de euros con los que comprar cosas en los establecimientos comerciales de nuestras calles. Es decir, necesitamos billetes de euros para tomar un café o subirnos a un taxi y por eso acudimos al cajero. Hoy por hoy, el dispositivo análogo basado en bitcoins sería un cajero que nos permitiera sacar 150 euros pagando 1 BTC, recurriendo a nuestros bitcoins a modo de "banco" que nos da efectivo. Se ha comentado en algún hilo en inglés que esto sería muy útil en aeropuertos para quienes llegan a un país sin tener la divisa local. Pero es más discutible la utilidad de un cajero que da bitcoins a cambio de euros. Nadie se va a encontrar en una calle en el centro de Madrid con una urgencia imperiosa de convertir euros en bitcoins, por lo que solamente serviría como alternativa a la compra de bitcoins a través de Bitstamp, MtGox, localbitcoins, etc. Y los costes de instalación y mantenimiento, junto a toda la incertidumbre legal y fiscal que se ha comentado en este hilo, harían muy difícil que el precio ofrecido fuera competitivo.

En resumen, me parece una iniciativa muy loable para promover Bitcoin, pero no acabo de ver clara su viabilidad. Creo que habría que delimitar muy claramente lo que se pretende y hasta dónde se quiere llegar.

Comunicado al respecto del propio FBI:

http://www.fbi.gov/newyork/press-releases/2013/manhattan-u.s.-attorney-announces-seizure-of-additional-28-million-worth-of-bitcoins-belonging-to-ross-william-ulbricht-alleged-owner-and-operator-of-silk-road-website

Parece que ahora el FBI ha logrado apoderarse de 144.000 bitcoins de un monedero de Ross Ulbricht, según ha publicado Forbes:

http://www.forbes.com/sites/andygreenberg/2013/10/25/fbi-says-its-seized-20-million-in-bitcoins-from-ross-ulbricht-alleged-owner-of-silk-road/

La nueva dirección Bitcoin del FBI:

https://blockchain.info/es/address/1FfmbHfnpaZjKFvyi1okTjJJusN455paPH

Discusión en el subforo Bitcoin Discussion/Press:

https://bitcointalk.org/index.php?topic=318038.0

En mi opinión, Litecoin y la mayoría de las demás altcoins actuales no aportan absolutamente nada. Yo lo compararía más bien con el protocolo gopher o con el Minitel francés. Por eso, mi estimación es que su valor acabará desplomándose a cero.

Sin haber usado nunca Btc-e (el secretismo bajo el que operan no me inspira ninguna confianza), entiendo que el precio más bajo del bitcoin en esa casa de cambio indica que estarían sufriendo una escasez relativa de dinero fiat. Esto puede deberse a lo que se comenta en un hilo del subforo de Service Discussion (https://bitcointalk.org/index.php?topic=307729.0), en el que algunos se quejan de dificultades para ingresar dinero fiat en Btc-e. Dos foreros hablan de problemas desde EE UU, otro dice que no logra enviar dinero desde el Reino Unido y varios mencionan retrasos e incluso cargos inesperados. Es posible que se esté dando una situación inversa a la de MtGox. Mientras que en MtGox es fácil ingresar dinero fiat y difícil sacarlo, en Btc-e sería difícil ingresarlo y fácil (supongo) sacarlo, lo que provocaría escasez de dinero fiat para las operaciones diarias. Es la única explicación que se me ocurre.

Básicamente sí. Y si la transacción ocupa menos de 10.000 bytes, podría hacerse incluso con comisión cero, siempre y cuando se cumplan dos condiciones más: que las salidas de la transacción sean todas superiores a 0,01 BTC y que la cantidad que se envía tenga una antigüedad superior a un cierto umbral que equivale a 1 BTC por 144 bloques (un día) por cada 250 bytes. Estas son las reglas originales de Bitcoin-Qt y son una especie de estándar de facto de la red porque prácticamente todo el software minero las mantiene tal cual. La aplicación de estas reglas en los casos reales no es nada intuitiva, ya que la casuística es compleja; cuando haces un pago en un monedero como Bitcoin-Qt puede ser necesario tomar como entradas varias salidas de transacciones anteriores para que la suma de los importes sea suficiente y luego habrá que enviar la vuelta o cambio a otra dirección como una segunda salida. Por eso es muy difícil prever cuándo Bitcoin-Qt te va a permitir comisión cero. Si por ejemplo haces dos transacciones seguidas, es habitual que la primera te deje comisión cero y la segunda no, porque la segunda puede estar utilizando monedas recién recibidas en la dirección de cambio de la primera transacción. Los detalles técnicos en la wiki: https://en.bitcoin.it/wiki/Transaction_fees

En cualquier caso, como comenta dserrano5, las comisiones de la red son cantidades muy pequeñas hoy por hoy y lo mejor es no obsesionarse con ellas y aceptarlas como lo que son: un mecanismo antispam para evitar abusos de la red Bitcoin.

Te lo ha dicho coinpr0n más arriba. En webs como blockchain.info y blockexplorer.com puedes ver los datos completos de cualquier transacción Bitcoin o el historial de transacciones en que interviene cualquier dirección. Da igual que los pagos los hayas hecho con uno u otro cliente.

Cuidado con esto. El precio en USD de los bitcoins sí que influye muchísimo en la ganancia que se pueda obtener en webs como BTCJam. La razón de eso es el riesgo de morosidad, que siempre existe en todo préstamo y que en el caso de los préstamos denominados en bitcoins se suele disparar siempre que sube el valor del propio bitcoin. Es lógico que sea así. Hoy por hoy no existe una auténtica economía denominada en bitcoins y el que pide prestados bitcoins los acaba gastando en cosas cuyo precio se fija en dólares o euros. Este acreedor esperará entonces obtener una ganancia con la que devolver los BTC que le han prestado, pero esa ganancia es mucho más difícil de generar si el precio del BTC sube. En tu ejemplo, quien toma hoy prestado 1 BTC obtendrá el equivalente de unos 150 euros. Pero si el día en que venza ese préstamo el bitcoin se vendiera por 300 euros, entonces tendría que devolver 1,04 BTC equivalentes a 312 euros, algo que le resultará mucho más difícil que devolver el equivalente a 156 euros si el precio no hubiera variado.

En este sentido, creo que hay que evitar aplicar a la economía Bitcoin la lógica del sistema monetario fiat. Esa idea tan extendida en la sociedad actual de que "el dinero hay que invertirlo en vez de tenerlo parado" es precisamente una consecuencia de que la masa monetaria de las monedas de curso legal como el dólar o el euro está permanentemente en expansión. Pero en el caso de Bitcoin, aunque aún quede por generarse casi la mitad de todas las monedas que llegará a haber en circulación, el número de usuarios puede crecer de manera exponencial en los próximos años, un efecto que anulará el efecto inflacionista de las nuevas monedas (la oferta de BTC puede multiplicarse a lo sumo por 1,75; la demanda por millones). Por ello, el bitcoin ya es deflacionario. Eso hace que los préstamos en bitcoins sean siempre una apuesta muy arriesgada.

Por la razón anterior, soy enormemente escéptico respecto a las ideas sobre invertir bitcoins. También la minería me parece una pérdida de dinero y de tiempo debido a las expectativas totalmente irreales con las que entra mucha gente y que hacen que sea uno de esos negocios en el que lo normal es perder dinero. Creo que solamente quienes tengan ventajas competitivas muy claras, como acceso a electricidad muy barata o capacidad de obtener máquinas nuevas ASIC antes que otros, pueden ganar algo con la minería actualmente. Y las altcoins actuales como Litecoin me parecen burdas réplicas de Bitcoin que no aportan absolutamente nada.

Mi consejo de inversión, por lo tanto, se sale de la tónica general de este subforo de minería: creo que lo mejor es que la inversión sean los propios bitcoins; comprar todos los que uno se pueda permitir, guardarlos bien y esperar tranquilamente a que suban de valor en los próximos años. Estoy convencido de que eso va a salir mejor a largo plazo que andar minando o invirtiéndolos en préstamos.

Ánimo y suerte. Como ya te han dicho, en este tipo de situaciones es aplicable aquello de "no hay mal que por bien no venga". Es cuestión de no desanimarse, reinventarse a uno mismo y salir adelante. Sin duda lo conseguirás.

En estos días en que ha estado caído el foro se ha identificado la dirección Bitcoin que ha utilizado el FBI para depositar los bitcoins que estaban en la cartera caliente de SR:

http://blockchain.info/address/1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX

Un efecto curioso de la visibilidad de esa dirección es la cantidad de pequeños pagos que está recibiendo con el único fin de publicar comentarios en blockchain.info.