El grupo de investigación de hackeo global SRLabs afirma que solo dos tercios del software de clientes de Ethereum que se ejecuta en los nodos de Ethereum ha sido parcheado contra un fallo de seguridad crítico descubierto a principios de este año. La noticia fue reportada por el sitio web de tecnología de negocios ZDNet el 17 de mayo.
Un informe de SRLabs aparentemente compartido con ZDNet ha revelado que el fallo crítico es una vulnerabilidad de denegación de servicio (DoS) en el cliente Parity Ethereum. Como ha señalado SRLabs, el fallo podría permitir a un hacker colisionar de forma remota con nodos Parity Ethereum legítimos enviando paquetes malformados.
En caso de que un número suficiente de nodos maliciosos saturaran la red y obtuvieran una mayoría del 51%, podrían cometer gastos dobles y validar transacciones erróneas, indica ZDNet.
Aunque el problema se resolvió con la publicación de la versión 2.2.10 del cliente Parity Ethereum a mediados de febrero, solo unos días después de que SRLabs informara del fallo, el investigador de SRLabs, Karsten Nohl, dijo a ZDNet:
"De acuerdo con los datos recopilados, solo dos tercios de los nodos han sido parcheados hasta ahora."
Un mes después de que el problema fue corregido con éxito en la nueva versión de Parity, los investigadores de SRLabs supuestamente escanearon la blockchain de Ethereum para comprobar cuántos nodos de Parity habían actualizado a sus clientes a la nueva versión. El informe indica lo siguiente:
"Un mes después de esta alerta, utilizamos datos de Ethernodes.org para evaluar la seguridad del entorno de los nodos Ethereum y encontramos que alrededor del 40% de todos los nodos Parity Ethereum escaneados [...] permanecían sin parchear y, por lo tanto, vulnerables a ataques mencionados."
Los datos indican que los nodos Parity sin parchear comprenden el 15% de todos los nodos escaneados, lo que implica que el 15% de todos los nodos de Ethereum son vulnerables a un posible ataque del 51%.
El ritmo lento de aplicación de parches en respuesta a las vulnerabilidades descubiertas supuestamente se demostró en un análisis más amplio de SRLabs, que encontró que al 7% de los nodos activos de Parity Ethereum no se habían aplicado parches durante nueve meses, lo que los hacía susceptibles a otros defectos detectados.
Se descubrió un ritmo lento similar para un cliente de nodos Ethereum diferente, Go-Ethereum (Geth), de los cuales un 44% de los nodos Geth no se habían sometido a una actualización de seguridad crítica (v1.8.21).
Nohl indicó que el complejo proceso de actualización automatizado de Parity carece de fiabilidad cuando los nodos no están configurados correctamente, mientras que el cliente de Geth carece por completo de un sistema de actualización automática.
Los nodos no parcheados aparentemente representan un riesgo para toda la red, ya que podrían colapsarse para reducir los costos de llevar a cabo un ataque de 51% en toda la blockchain, indica ZDNet.
El pasado mes de marzo, los investigadores de la plataforma de comercio de criptomonedas principal BitMEX descubrieron un error potencial en su nodo completo Parity Ethereum, el cual, según ellos, era poco probable que se explotara.
Sigue leyendo:
La Corte Suprema de Nueva York concede la moción de Bitfinex para modificar la orden judicial