Hechos clave:
-
El error afecta nodos de Parity con el API JASON-RPC expuesta al público en servicios a terceros.
-
Si un atacante explota el error podía bloquear el funcionamiento de ciertos nodos en la red.
Parity Technology reportó el pasado 3 de febrero un error en sus clientes ligeros que tienen la API JASON-RPC expuesta públicamente en servicios para terceros, que podía permitir a un atacante bloquear nodos de la blockchain de Ethereum.
Este domingo la empresa confirmó un error en los clientes Parity que permitía que un posible atacante enviara una solicitud de llamada de procedimiento remoto (RCP) —programa de computadora que permite ejecutar códigos de una máquina a otra sin comunicación entre ambas— para bloquear ciertos nodos de Ethereum, lo que, en el peor de los casos, podría interrumpir el funcionamiento de una parte de esta blockchain. La compañía recomendó la actualización inmediata a las nuevas versiones del cliente Parity ( Parity 2.2.9 estable y 2.3.2 beta) en las que se solventa esta vulnerabilidad.
El error proviene de la exposición pública de la API JASON-RCP, encargada de conectar las aplicaciones de monedero y dispositivos a la blockchain de Ethereum para la consulta de información relacionada a fondos, actividades de minería y llaves privadas. En el comunicado difundido por Parity se explica que ciertas aplicaciones y servicios a terceros mantienen dicha API expuesta a su público, lo que vulnera la seguridad de sus nodos.
El bug no afecta a la mayoría de los nodos de Parity en Ethereum. No obstante, todas las firmas y aplicaciones que han mantenido su API expuestas al público son vulnerables al ataque, destacando entre ellos los servicio de Infura, MyEtherWallet y MyCrypto.
Asimismo, el comunicado plantea que el ataque no vulnera los fondos de los clientes, sino solamente la funcionalidad del nodo. Los directivos de Parity Ethereum tampoco reportaron que algún atacante haya explotado el error, por lo cual se cree que ningún nodo fue afectado por este bug.
Medios de comunicación destacaron que el error pudo haber causado un enorme descalabro en el procesamiento de transacciones de Ethereum y el funcionamiento de las aplicaciones descentralizadas, tomando en cuenta que Infura procesa del 60 al 70% de las aplicaciones de Ethereum. Aunque esto es cierto, también hay que tener presente que Ethereum tiene muchos otros clientes ligeros además de Parity. Por ejemplo, Infura también utiliza clientes Geth para prestar sus servicios a terceros además de Parity, una realidad que podría poner en proporción los alcances de un ataque de este tipo y sugerirnos que el mismo no afectaría la totalidad de la blockchain.
Lucas Nuzzi, director de investigación de tecnología en la firma DAR Crypto, aseguró por medio de un tuit que «los clientes ligeros son muy problemáticos» a nivel de seguridad, sobretodo porque este tipo de servicio es utilizado por muchas aplicaciones en Ethereum y han proliferado por toda la red con un sonado éxito:
A parity vulnerability was discovered today that allows an attacker to DoS fullnode-as-a-service entities like Infura, MyEtherWallet, MyCrypto… https://t.co/cz7xSePFeD
— Lucas Nuzzi (@LucasNuzzi) February 3, 2019
Nuzzi considera que es prioritario para la blockchain de Ethereum desarrollar clientes alternativos, los cuales en situaciones como esta podrían ser una solución para mantener la red estable.
La API JASON-PRC ya ha presentado con anterioridad problemas de seguridad que ha obligado a la comunidad de Ethereum tomar previsiones de emergencia. Desde hace unos años atrás se viene reportando que uno de los puertos de esta API, específicamente el puerto 8545, queda en ciertos casos expuesto para el público en monederos y dispositivos de minería, por lo cual los hackers lo pueden utilizar esta vulnerabilidad para explotar a conveniencia el cliente y robar fondos de usuarios de manera remota.
Imagen destacada por pinkeyes / stock.adobe.com
