Hechos clave:
-
El error afecta nodos de Parity con el API JASON-RPC expuesta al público en servicios a terceros.
-
Si un atacante explota el error podÃa bloquear el funcionamiento de ciertos nodos en la red.
Parity Technology reportó el pasado 3 de febrero un error en sus clientes ligeros que tienen la API JASON-RPC expuesta públicamente en servicios para terceros, que podÃa permitir a un atacante bloquear nodos de la blockchain de Ethereum.
Este domingo la empresa confirmó un error en los clientes Parity que permitÃa que un posible atacante enviara una solicitud de llamada de procedimiento remoto (RCP) —programa de computadora que permite ejecutar códigos de una máquina a otra sin comunicación entre ambas— para bloquear ciertos nodos de Ethereum, lo que, en el peor de los casos, podrÃa interrumpir el funcionamiento de una parte de esta blockchain. La compañÃa recomendó la actualización inmediata a las nuevas versiones del cliente Parity ( Parity 2.2.9 estable y 2.3.2 beta) en las que se solventa esta vulnerabilidad.
El error proviene de la exposición pública de la API JASON-RCP, encargada de conectar las aplicaciones de monedero y dispositivos a la blockchain de Ethereum para la consulta de información relacionada a fondos, actividades de minerÃa y llaves privadas. En el comunicado difundido por Parity se explica que ciertas aplicaciones y servicios a terceros mantienen dicha API expuesta a su público, lo que vulnera la seguridad de sus nodos.
El bug no afecta a la mayorÃa de los nodos de Parity en Ethereum. No obstante, todas las firmas y aplicaciones que han mantenido su API expuestas al público son vulnerables al ataque, destacando entre ellos los servicio de Infura, MyEtherWallet y MyCrypto.
Asimismo, el comunicado plantea que el ataque no vulnera los fondos de los clientes, sino solamente la funcionalidad del nodo. Los directivos de Parity Ethereum tampoco reportaron que algún atacante haya explotado el error, por lo cual se cree que ningún nodo fue afectado por este bug.
Medios de comunicación destacaron que el error pudo haber causado un enorme descalabro en el procesamiento de transacciones de Ethereum y el funcionamiento de las aplicaciones descentralizadas, tomando en cuenta que Infura procesa del 60 al 70% de las aplicaciones de Ethereum. Aunque esto es cierto, también hay que tener presente que Ethereum tiene muchos otros clientes ligeros además de Parity. Por ejemplo, Infura también utiliza clientes Geth para prestar sus servicios a terceros además de Parity, una realidad que podrÃa poner en proporción los alcances de un ataque de este tipo y sugerirnos que el mismo no afectarÃa la totalidad de la blockchain.
Lucas Nuzzi, director de investigación de tecnologÃa en la firma DAR Crypto, aseguró por medio de un tuit que «los clientes ligeros son muy problemáticos» a nivel de seguridad, sobretodo porque este tipo de servicio es utilizado por muchas aplicaciones en Ethereum y han proliferado por toda la red con un sonado éxito:
A parity vulnerability was discovered today that allows an attacker to DoS fullnode-as-a-service entities like Infura, MyEtherWallet, MyCrypto… https://t.co/cz7xSePFeD
— Lucas Nuzzi (@LucasNuzzi) February 3, 2019
Nuzzi considera que es prioritario para la blockchain de Ethereum desarrollar clientes alternativos, los cuales en situaciones como esta podrÃan ser una solución para mantener la red estable.
La API JASON-PRC ya ha presentado con anterioridad problemas de seguridad que ha obligado a la comunidad de Ethereum tomar previsiones de emergencia. Desde hace unos años atrás se viene reportando que uno de los puertos de esta API, especÃficamente el puerto 8545, queda en ciertos casos expuesto para el público en monederos y dispositivos de minerÃa, por lo cual los hackers lo pueden utilizar esta vulnerabilidad para explotar a conveniencia el cliente y robar fondos de usuarios de manera remota.
Imagen destacada por pinkeyes / stock.adobe.com