El ingeniero de software Everton Fraga advirtiรณ a travรฉs del blog oficial de Ethereum Project que los usuarios que utilicen navegadores Mist desde la versiรณn 0.9.3 en adelante para visitar sitios web poco confiables se estรกn exponiendo al riesgo de que roben sus claves privadas. Esto debido a una vulnerabilidad de Chromium que afecta a las versiones beta de Mist.
Fraga aรฑadiรณ que los usuarios de Ethereum Wallet no se verรกn afectados.
Como la aplicaciรณn de escritorio Ethereum Wallet no califica como navegador -solo tiene acceso a la cartera Dapp local- no estรก sujeta a la misma categorรญa de problemas presentes en Mist. Por ahora, se recomienda utilizar Ethereum Wallet para administrar fondos e interactuar con contratos inteligentes en su lugar.
Everton Fraga
Ingeniero de software
Segรบn describiรณ Fraga, durante el aรฑo pasado solucionaron diversos problemas detectados por la firma alemana de ciberseguridad Cure53, lo que permitiรณ mejorar la seguridad tanto del navegador Mist como de la plataforma subyacente, llamada Electron, la cual a su vez se basa en Chromium. Pero tales esfuerzos no han sido suficientes, debido a que crear un navegador que maneja claves privadas representa un desafรญo y la seguridad en el ciberespacio es โUna batalla interminableโ.
Fraga explicรณ que cada versiรณn de Chromium soluciona problemas asociados con la seguridad, pero recientemente Electron no se ha estado actualizando con Chromium, lo que ha dado cabida a un riesgo de ataque que va aumentando con el pasar del tiempo. ยฟCuรกl es la relaciรณn con Mist? Electron es la capa entre Mist y Chromium.
Un problema central con la arquitectura actual es que cualquier vulnerabilidad de 0 dรญas de Chromium estรก a varios pasos de distancia de Mist: primero Chromium necesita ser parchado, luego Electron necesita actualizar la versiรณn de Chromium, y finalmente, Mist necesita actualizarse a la nueva versiรณn electrรณnica.
Everton Fraga
Ingeniero de software
Reducir la brecha entre las versiones de Electron y Chromium es el centro de interรฉs del equipo detrรกs de Mist, que ya estรกn considerando como una opciรณn al explorador descentralizado Brave, una bifurcaciรณn de Electron cuya exigencia de seguridad es como la de Mist y que ademรกs tiene integrada una cartera de criptomonedas y ademรกs โsigue de cerca las actualizaciones de Chromiumโ, destacรณ Fraga.
El navegador Mist de Ethereum todavรญa estรก en fase de prueba, por lo que no existen garantรญas de ningรบn tipo. De manera que Fraga insta a evitar guardar fondos ETH en llaves privadas en lรญnea y aconseja mรกs bien almacenarlos en carteras de escritorio, carteras frรญas, en contratos inteligentes, o en una combinaciรณn de estos. Otras de las recomendaciones seรฑaladas por Fraga comprenden hacer una copia de seguridad de las claves privadas; no visitar sitios web o redes poco confiables con Mist; actualizar el navegador de costumbre; guardar un registro del sistema operativo y de las actualizaciones de antivirus.
Esta advertencia no debe ser subestimada, mรกs cuando proyectos basados en Ethereum ya han sido objetos de ataques debido a las vulnerabilidades detectadas, como ocurriรณ con Parity, lo que generรณ que mรกs de 150 millones de dรณlares fueran congelados, sin esperanza de obtenerlos hasta que ocurra el hardfork Constantinople el aรฑo que viene. Y recientemente, un estudio indicรณ que los sitios web asociados a criptomonedas son los principales blancos de ataques DDos.
