Fuente: iStock / MicroStockHub. Toda la red de Ethereum podría estar enfrentando la amenaza de un ataque del 51% debido a que algunos clientes no han sido parchados, según un informe reciente de un grupo de investigación de hacking con sede en Berlín y un laboratorio de consultoría de consultoría de seguridad. Esto se debe a que un tercio de los nodos de paridad de Ethereum aún no han aplicado un parche de seguridad crítico un mes después de su publicación. Controlar más de la mitad de la potencia computacional en una red, también conocida como ataque del 51%, significa que un actor malintencionado puede anular las decisiones tomadas por otros participantes de la red, lo que les permite duplicar los fondos, entre otras preocupaciones. Los nodos que usan el software de software Parity para acceder a la red de Ethereum que aún no han actualizado a sus clientes pueden bloquearse de forma remota debido a un error en el sistema, afirma el think tank. Según Security Research Labs, desde que se lanzó un parche para este error, solo se han actualizado dos tercios de todos los nodos de paridad. “Un mes después de esta alerta [realizada en febrero de 2019], utilizamos datos de Ethernodes.org para evaluar la seguridad del paisaje de nodos de Ethereum y encontramos que alrededor del 40% de todos los nodos de Ethereum de paridad escaneados, que representan el 15% de todos los nodos escaneados , se mantuvo sin parches y por lo tanto vulnerable al mencionado ataque. «Otro parche que se lanzó el 2 de marzo de 2019 alcanzó cerca del 70% de los nodos de Parity Ethereum, aún dejando otro 30% obsoleto», informaron. El informe continúa agregando que «se necesitan mecanismos de actualización más confiables» a los que proponen usar una función de actualización automatizada, algo que Parity sí tiene, pero «tiene una alta complejidad y algunas actualizaciones quedan fuera». Al usar la configuración predeterminada para Parity, el cliente solo descarga parches que considera críticos, y el umbral para eso parece estar demasiado bajo. La paridad no es el único cliente con este problema. Geth, otra opción popular del cliente de Ethereum, no cuenta con este mecanismo de actualización automatizado por diseño, lo que también le trae problemas: «Según sus encabezados anunciados, alrededor del 44% de los nodos Geth visibles en ethernodes.org estaban por debajo de la versión v. 1.8.20, una actualización crítica para la seguridad, lanzada dos meses antes de nuestra medición «. Aún así, el informe agrega que no todos los nodos contribuyen con la misma cantidad de potencia de cómputo, por lo que los riesgos pueden disminuir, ya que «la potencia de cómputo aparece altamente concentrada entre una pequeña cantidad de nodos». Si estos nodos están bien mantenidos, otros participantes tiene muy poco de qué preocuparse, pero el riesgo está muy presente y no se debe subestimar. Esta no es la primera vez que la red Ethereum se enfrenta a graves riesgos. En diciembre de 2018, una serie de plataformas de minería Ethereum fueron atacadas debido a un puerto que estuvo expuesto cuando no debería haberlo hecho, probablemente debido a que los mineros hicieron pequeños retoques sin estar conscientes de los riesgos. Además, ISE, una firma de consultoría de seguridad con sede en Baltimore, Maryland, dijo recientemente que descubrió 732 claves privadas, así como sus correspondientes claves públicas que comprometieron 49,060 transacciones a la cadena de bloques Ethereum.

A %d blogueros les gusta esto: