Hechos clave:
-
El parche de seguridad crítica lanzado en febrero fue utilizado solo por dos tercios de los nodos.
-
SRLabs dice que el ecosistema de Ethereum podría estar expuesto a un ataque de 51%.
Un informe del equipo de Security Research Labs (SRLabs) reveló que más de un tercio de los nodos del cliente Parity de Ethereum siguen ejecutando una versión vulnerable del software. Así lo expuso el grupo de investigación y hacking en una detallada publicación de su página web, fechada este viernes 17 de mayo.
A pesar de que Parity lanzó un “parche de seguridad crítica” que resuelve la vulnerabilidad, los investigadores encontraron que, luego de un mes, 40% de los participantes con nodos Parity de Ethereum, no habían parcheado sus software cliente. Este porcentaje representa cerca del 15% del total de nodos conectados a la red de Ethereum, que fueron objeto de revisión.
De acuerdo con la información, el 2 de marzo de 2019 fue lanzado otro parche, que fue aplicado por aproximadamente 70% de los nodos de Parity, quedando el restante 30% obsoleto. La publicación señala que la falta de actualización es particularmente grave, toda vez que Parity, junto a Geth, son los clientes más populares entre los participantes de la red de Ethereum.
El equipo de SRLabs explicó que, en febrero de este año, detectaron e informaron sobre una vulnerabilidad en el cliente ligero de Parity Ethereum. Esta falla puede usarse para bloquear de forma remota cualquier nodo que ejecute versiones del cliente anteriores a la 2.2.10. Aunque la brecha de seguridad no afecta directamente los fondos en ETH, los investigadores advirtieron que la denegación de servicio (DoS) a los nodos de la red de Ethereum, la expone a ataques de 51% y de doble gasto.
Si un hacker puede bloquear una gran cantidad de nodos, controlar el 51% de la red se vuelve más fácil. Por lo tanto, los bloqueos de software son un grave problema de seguridad para los nodos de cadena de bloques.
Security Research Labs
En opinión de estos expertos, las redes de criptomonedas deben estar conscientes de la particular seriedad que revisten las vulnerabilidades de denegación de servicio para las blockchain.
En cuanto a los clientes Geth (Go Ethereum), el análisis mostró que la brecha de parches es aún mayor que para Parity. 44% de los nodos Geth visibles en ethernodes.org, para el momento de la revisión, estaban por debajo de la versión v.1.8.20. Dicha versión es una actualización de seguridad crítica, lanzada dos meses antes de la realización del estudio.
El informe alerta sobre la necesidad de establecer mecanismos efectivos para la actualización de los nodos. Entre sus recomendaciones se encuentran descentralizar el poder de hash de la red, establecer mecanismos de actualización automatizados, entre otras. “La falta de higiene básica en los parches socava la seguridad del ecosistema Ethereum”, señalaron los expertos de SRLabs.