Jess

Comms at WakeUp Labs.

September 19, 2023

Get to know: Sergio Lerner

Chief Scientist at IOV Labs and researcher specializing in computer security and crypto.

About Sergio.

Currently, Sergio is the Chief Scientist at IOV Labs, and co-manages the IOV Labs Research & Innovation area, which researches and develops improvements for blockchain scalability, privacy, fairness, decentralization, security, and ease of use. He is also recognized as one of the foremost researchers in the fields of computer security and cryptocurrency. In 2015, he co-founded RSK Labs, a company that develops the RSK Smart Contract platform, also known as Rootstock. Additionally, he has founded several other companies, including Coinspect (specializing in information security audits for startups and cryptocurrencies), Coinfabrik (cryptocurrency software), WayniLoans (a loan platform focused on Latin America), ASICBoost (developing more efficient ASIC miners), and Pentatek (a medical equipment manufacturer in Latin America).

-

  •  What was the biggest challenge when developing Rootstock?


“We faced two significant challenges.

The first one was technical: creating the two-way peg (now known as the Bridge) to connect Bitcoin with Rootstock, the first Sidechain, and doing it as securely as possible. It was a team effort that began in 2016 and continued uninterrupted for 5 years, always striving to enhance security. In the blockchain world, you often come across projects that invest in security during their initial months of development, including conducting code audits. However, as time goes on, they tend to lose focus on this crucial aspect, and the outcomes are often far from desirable. In reality, security requires ongoing investment and necessitates continuous improvement, especially as the stakes (TVL), continue to rise. In Rootstock, we started with a multi-signature federation of only 5 participants, and now we have a Powpeg, secured by a multi-signature of 9 tamper-proof autonomous devices resistant to misuse or secret extraction attempts. These devices, which we call PowHSM, follow the consensus of RSK and cannot be externally commanded. They obey orders from the Rootstock blockchain and can recognize the honest chain by its massive accumulated hashrate. Additionally, there is an emergency federation of 4 signatories, which is automatically activated if funds are locked for more than 1 year. There are additional security mechanisms related to system monitoring. For example, the “Armadillo system” looks for early detection of potential main chain splits. Our next challenge is to introduce the advantages of segwit to expand the federation to more than 60 members. This experience has taught me multiple lessons. Firstly, it underscores that errors can arise at any point, and systems must be fortified against their own shortcomings through the implementation of multiple safeguards—an approach commonly referred to as "defense-in-depth" in Cybersecurity. Secondly, it underscores that when it comes to security, one should never become complacent, as it necessitates an ongoing journey of exploration and enhancement.

The second challenge was finding the bitcoiners (early adopters) who were capable of making a leap of faith and could envision Bitcoin not just as an isolated blockchain but as the center of a network of sidechains, each specialized in a niche or efficiently solving a use case. This required accepting that innovation doesn't happen only within the Bitcoin ecosystem, but there are great minds working to create new technologies and applications based on smart contracts and blockchains, and all that energy can be channeled to strengthen Bitcoin not only as a store of value but as a platform for innovation. More and more bitcoiners are using sidechains and supporting drivechains. Nowadays, the notion of Bitcoin as a platform for application development is gaining popularity through informal communication and discussions, but initially, there were many skeptics within the community”.


  • What valuable insights or aspects can you share from your experience in designing Ethash for Ethereum and being involved in one of the earliest Ethereum audits?


"It was a truly fascinating experience. Regarding Ethash, the Ethereum founders opted to incorporate an algorithm I had previously published, even though I wasn't directly involved in that decision. Ethash effectively served its purpose until Ethereum transitioned to PoS (Proof of Stake), and it was no longer needed.

The audits provided me with a direct opportunity to contribute to Ethereum's design. I had previous experience since I had designed the first smart contract platform a year before Ethereum. My primary contributions were centered around bolstering security and incentives.

My experience with Ethereum reaffirmed my conviction that introducing competitive cryptocurrencies alongside Bitcoin has both positive and negative aspects. In the short term, it fosters innovation and experimentation as new blockchains, equipped with the capability to issue their own tokens, quickly attract speculative funds, which can accelerate the transformation of ideas into products. However, the flip side is less favorable: I hold the belief that the proliferation of speculative tokens doesn't necessarily benefit society to the fullest.; considering that the greatest innovation brought by Bitcoin is the creation of a decentralized currency that can serve as a store of value and facilitate peer-to-peer transactions without intermediaries. Consequently, these insights served as my motivation to create Rootstock, enabling innovations in smart contracts to utilize Bitcoin as the native currency."

Another lesson drawn from my Ethereum audits is the significant cost associated with introducing "features" to the blockchain after its initial launch. Conversely, certain "features" can be deferred and added later without complications. The art of designing a decentralized system hinges on discerning whether a particular feature belongs to the former or latter category.

As an illustration, I remember that one of the recommendations from one of my audits was to launch the platform with "account abstraction" already integrated. This is a mechanism that allows wallets to operate with tokens (e.g., crypto-dollars) without needing to possess native currency beforehand (like ether), and it's crucial for easily acquiring new users without technical preparation. However, the Ethereum founders chose to exclude this feature. Now, 8 years later, due to the various methods available to integrate this mechanism, it remains a subject of debate and decision-making, with its activation still pending”.

  • 3 tips you would give to a builder who is taking their first steps in blockchain product development and that you would have liked to know from the beginning.
  1. Invest in security consistently and continuously.

  2. Construct business models that focus on the long term and scalability. Avoid being swayed by short-term solutions tied to speculation.

  3. Seek and test the market fit of your product before diving into complex and ambitious development.

These tips apply not only to web3 development but can also be valuable in other software development projects involving complexity and the management of high-value information or assets.

  • Where do you see the industry heading in the next 5 years?


"I try not to play the fortune-teller, but it seems we're at a pivotal moment. The lack of solid regulation, or any regulation at all, is the main hurdle right now for industry growth. I think the next few years will bring some clarity on that front. The approval of Bitcoin ETFs in the USA might kickstart a closer relationship between traditional finance and decentralized finance. As clearer rules emerge in different legal territories, crypto companies will start scouting for the most welcoming nations to set up shop, expand, and roll out their products. I believe there will be a new appreciation of Bitcoin, a DeFi product explosion, and the normalization of decentralized finance becoming part of everyday life for millions."





-

Sobre Sergio

Sergio es el actual Chief Scientist de IOV Labs, contribuyendo a la investigación y desarrollo de la escalabilidad, privacidad, equidad, descentalización, seguridad y facilidad de uso de blockchain. Además es reconocido como uno de los más destacados investigadores en el área de la seguridad informática y crypto. En el 2015 cofundó RSK Labs, quienes desarrollan la plataforma RSK Smart Contract (a.k.a. Rootstock). A su vez, ha fundado varias empresas como Coinspect (auditorías de la seguridad de la información de las startups y criptomonedas), Coinfabrik (software de criptomonedas), WayniLoans (plataforma de préstamos centrada en Latam), ASICBoost (desarrollo de ASIC mineros más eficientes), y Pentatek (fabricante de equipos médicos en Latam).

-

  • ¿Cuál fue el mayor desafío en el desarrollo de Rootstock?

“Nos enfrentamos a dos desafíos importantes. El primero fue técnico: crear el un two-way-peg (lo que hoy llamamos Bridge) para conectar Bitcoin con Rootstock, la primera Sidechain, y hacerlo para que sea lo más seguro posible. Fue un trabajo de equipo que comenzamos en 2016, pero luego continuó ininterrumpidamente por 5 años. Siempre aspirando a mejorar la seguridad. Muchos proyectos del ecosistema invierten en seguridad durante los primeros meses, hacen auditorías de código, y luego se olvidan del tema, y los resultados están a la vista. En realidad la seguridad es una inversión constante. Exige continua mejora a medida que va aumentando los fondos en juego (TVL). En Rootstock comenzamos con una federación de tipo multi-firma de solo 5 participantes y ahora tenemos un Powpeg, asegurado por una multi-firma de 9 dispositivos autónomos resistentes a intentos de uso indebido o extracción de secretos (propiedad que se conoce como “tamper-proof”). Estos dispositivos, que llamamos PowHSM, siguen el consenso de RSK y no pueden ser comandados externamente. Obedecen las órdenes de la blockchain Rootstock, y pueden reconocer la cadena honesta por su enorme hashrate acumulado. Además hay una federación de emergencia de 4 firmantes, que se activa automáticamente si los fondos quedan bloqueados por más de 1 año. Hay mecanismos de seguridad adicionales relacionados al monitoreo del sistema. Por ejemplo, el sistema Armadillo busca la detección temprana de posibles divisiones de la cadena principal. Y nuestro próximo desafío es introducir las ventajas de segwit para poder extender la federación a más de 60 miembros. Este trabajo me dejó múltiples enseñanzas: primero, siempre puede haber errores y los sistemas deben estar protegidos frente a sus propios errores mediante múltiples barreras (algo que en ciberseguridad se conoce como “defense-en-depth”). Segundo, que con la seguridad nunca hay que dormirse en los laureles, y es una exploración y mejora continua.

El segundo desafío fue encontrar los bitcoiners (“early adopters”) que fueran capaces de hacer un leap-of-faith y que pudieran pensar a Bitcoin no solo como una blockchain aislada, sino como el centro de una red de sidechains, cada una especializada en un nicho o resolviendo eficientemente un caso de uso. Esto requiere aceptar que la innovación no ocurre solo dentro del ecosistema Bitcoin, sino que hay grandes mentes trabajando en crear nuevas tecnológicas y aplicaciones basadas en contratos inteligentes y blockchains, y toda esa energía se puede canalizar para afianzar Bitcoin no solo como reserva de valor, sino como plataforma de innovación. Cada vez hay más bitcoiners que utilizan las sidechains y que apoyan las drivechains. Hoy en día la idea de un Bitcoin como plataforma de desarrollo de aplicaciones se expande de boca en boca, pero en un comienzo en la comunidad había muchos escépticos”.


  • ¿Qué insights o aspectos enriquecedores podés contar de tu experiencia diseñando Ethereum Ethash y trabajando en una de las primeras auditorías de Ethereum?

“Fue muy interesante en muchos aspectos. En el caso de Ethash, los fundadores de Ethereum decidieron incorporar un algoritmo que yo había publicado, pero yo no participé en esa decisión. Ethash cumplió su función en forma exitosa, hasta que dejó de utilizarse cuando Ethereum migró a PoS.

Las auditorías me permitieron contribuir directamente al diseño de Ethereum. Yo ya tenía un conocimiento previo por haber diseñado la primera plataforma de contratos inteligentes un año antes que Ethereum. Mis contribuciones fueron mayoritariamente mejoras en la seguridad y los incentivos.

La experiencia con Ethereum afianzó mi posición de que la creación de monedas competitivas con Bitcoin tiene dos caras. En el corto plazo fomenta la innovación y experimentación, porque las nuevas blockchains, al poder emitir sus propios tokens, consiguen fondos especulativos rápido y esto dispara la transformación de ideas en productos. Pero la otra cara es negativa: creo que la explosión de tokens especulativos no es lo más beneficioso para la sociedad dado que la mayor invención que trajo Bitcoin es la creación de una moneda descentralizada que pueda ser reserva de valor y facilitar pagos sin intermediación. Estas enseñanzas me motivaron para crear Rootstock, que permite que las innovaciones en contratos inteligentes puedan usar Bitcoin como moneda nativa.

Otra enseñanza de mis auditorías a Ethereum es que aquellos “features” que no se introducen en la blockchain en su génesis, puede costar mil veces más introducirlos posteriormente. Otros “features”, por el contrario, no necesitan estar desde un comienzo y pueden incorporarse luego. El talento de quien diseña un sistema descentralizado está en saber si un feature pertenece a la primera o segunda categoría. Por ejemplo, recuerdo que una de las recomendaciones de una de mis auditorías fue que se debía lanzar la plataforma con “account abstraction” ya integrado. Este es un mecanismo para permitir que las billeteras puedan operar con tokens (i.e. cripto-dolares) sin necesidad de poseer moneda nativa previamente (como ether), y esto es muy importante para adquirir fácilmente nuevos usuarios sin preparación técnica. Los fundadores de Ethereum decidieron dejar este feature afuera, y hoy, 8 años después, dada las múltiples formas de integrar este mecanismo, todavía hay controversias, decisiones y no fue posible la activación”.


  • 3 tips que le darías a un builder que está dando sus primeros pasos en el desarrollo de productos blockchain y te hubiera gustado saber en un principio.
  1. Invertir en seguridad y hacerlo en forma constante.

  2. Construir modelos de negocio que piensen en el largo plazo y que sean escalables. No dejarse llevar por soluciones cortoplacistas ligadas a la especulación.

  3. Buscar y probar el market-fit del producto antes de lanzarse a un desarrollo complejo y ambicioso.

Estos consejos se aplican a desarrollo web3, pero también podrían aplicarse en otros desarrollos de software de complejidad y manejo de información o activos de alto valor.


  • ¿Hacia dónde te parece que irá el rumbo de la industria en los próximos 5 años?


“Trato de no hacer futurología pero creo que estamos llegando a un punto de inflexión. La deficiente regulación o la falta de la misma es el principal obstáculo actual para el crecimiento de la industria y yo creo que en los próximos años veremos definiciones al respecto. La aprobación de Bitcoin ETFs en USA puede ser el puntapié inicial para una mayor integración entre la finanzas tradicionales y la finanza descentralizada. A partir de la existencia de reglas más claras en las diversas jurisprudencias, las empresas cripto buscarán el país indicado para instalarse y crecer y allí desarrollarán sus productos. Creo que habrá un nueva revalorización del Bitcoin, una explosion de productos DeFi y la normalización de las finanzas descentralizadas como parte de la vida cotidiana de cientos de millones de personas”.