Hechos clave:
- Explicó que el protocolo RPC es necesario y se encuentra en todas las blockchains.
- El desarrollador dijo a CriptoNoticias que la información de Tencet es falsa y difamatoria.
Anteriormente se informó acerca de una vulnerabilidad en NEO divulgada por Tencent, la cual aseguraba que permitía que piratas informáticos robaran fondos de forma remota a los usuarios de esta red.
CriptoNoticias conversó con Fernando (Shargon), desarrollador del equipo de seguridad informática de NEO y de City of Zion, y cofundador de red4sec. Shargon compartió que la información divulgada por la compañía china “tiene poco fundamento técnico y se basa en nodos muy desactualizados”, además de considerarla “falsa y difamatoria”.
Shargon explicó que “la vulnerabilidad que mencionan se refiere al protocolo RPC, que no está ni estaba abierto por defecto”. El desarrollador añadió que Erick Zhang, cofundador de NEO, en una aclaratoria tras la publicación de Tencent en Weibo, “básicamente explicaba que por defecto no se activa y que solo usuarios que quieren hacer precisamente eso y que conocen las opciones que dan, pueden hacerlo”.
Para que se pueda explotar la vulnerabilidad, señala Shargon “alguien tiene que activar el servicio, configurarlo para que acepte peticiones de exterior, abrir el puerto a internet, en el firewall y abrir una wallet”. Haciendo una analogía del procedimiento, indicó: “el equivalente en Windows es activar el escritorio remoto, habilitarlo para acceso sin contraseña y exponerlo a internet, no por eso decimos que Windows sea inseguro”.
El desarrollador también señaló que el protocolo RPC es necesario y es algo que tienen todos los proyectos blockchain. “El protocolo RPC precisamente está diseñado para que, por ejemplo, exchanges interactúen con la cadena de NEO”, apuntó. Shargo agregó que en el caso de NEO, el protocolo RPC se mejoró hace varios meses para añadir una capa extra de seguridad.
El desarrollador considera que la publicación de Tencent es difamatoria: “Mencionar un fallo que hace meses que no existe, y que cuando existía no era para el usuario que usa NEO, sino para el que realmente quiere usar esa opción, solo puede tener el fin de manipulación del mercado”.
Recalcó que el tema de la seguridad es muy sensible en NEO y que, de hecho, tiene bug bounties para aquellos que encuentren fallas en la red reciban una recompensa. “Con más motivo, si dicha vulnerabilidad fuera real, el que lo encontró (que en este caso fuimos nosotros hace un año casi) recibiría una recompensa económica por ello”, sentenció.
El pasado 1° de diciembre, el laboratorio de Seguridad de Tencent publicó en la red de Weibo que los usuarios de NEO estaban expuestos a perder sus fondos por robos remotos si utilizaban la configuración predeterminada para acceder a sus monederos.
Tencent había señalado que los usuarios del cliente NEO-CLI debían actualizarse a la versión más reciente, así como también evitar la función RPC. Para aquel entonces, desde CriptoNoticias se intentó contactar al equipo de NEO, pero no se obtuvieron respuestas.
Tras ello, el cofundador Erick Zhang aclaró que no existía tal riesgo de robo remoto para usuarios comunes de NEO. En aquel momento, Zhang informó que el protocolo RPC solo puede ser invocado por el cliente NEO-CLI, de manera que usuarios comunes de NEO no pueden acceder a través de esta modalidad.
Zhang añadió que “NEO-CLI no activará RPC en la configuración predeterminada, y solo lo hará en circunstancias especiales con un parámetro de línea de comando adicional” y que, “A menos que los usuarios cambien manualmente los archivos de configuración, se pueden eliminar las posibilidades de riesgos relacionados”.
Imagen destacada por gstockstudio / stock.adobe.com
