Hechos clave:
-
ExplicĆ³ que el protocolo RPC es necesario y se encuentra en todas las blockchains.
-
El desarrollador dijo a CriptoNoticias que la informaciĆ³n de Tencet es falsa y difamatoria.
Anteriormente se informĆ³ acerca de una vulnerabilidad en NEO divulgada por Tencent, la cual aseguraba que permitĆa que piratas informĆ”ticos robaran fondos de forma remota a los usuarios de esta red.
CriptoNoticias conversĆ³ con Fernando (Shargon), desarrollador del equipo de seguridad informĆ”tica de NEO y de City of Zion, y cofundador de red4sec. Shargon compartiĆ³ que la informaciĆ³n divulgada por la compaƱĆa china ātiene poco fundamento tĆ©cnico y se basa en nodos muy desactualizadosā, ademĆ”s de considerarla āfalsa y difamatoriaā.
Shargon explicĆ³ que āla vulnerabilidad que mencionan se refiere al protocolo RPC, que no estĆ” ni estaba abierto por defectoā. El desarrollador aƱadiĆ³ que Erick Zhang, cofundador de NEO, en una aclaratoria tras la publicaciĆ³n de Tencent en Weibo, ābĆ”sicamente explicaba que por defecto no se activa y que solo usuarios que quieren hacer precisamente eso y que conocen las opciones que dan, pueden hacerloā.
Para que se pueda explotar la vulnerabilidad, seƱala Shargon āalguien tiene que activar el servicio, configurarlo para que acepte peticiones de exterior, abrir el puerto a internet, en el firewall y abrir una walletā. Haciendo una analogĆa del procedimiento, indicĆ³: āel equivalente en Windows es activar el escritorio remoto, habilitarlo para acceso sin contraseƱa y exponerlo a internet, no por eso decimos que Windows sea inseguroā.
El desarrollador tambiĆ©n seƱalĆ³ que el protocolo RPC es necesario y es algo que tienen todos los proyectos blockchain. āEl protocolo RPC precisamente estĆ” diseƱado para que, por ejemplo, exchanges interactĆŗen con la cadena de NEOā, apuntĆ³. Shargo agregĆ³ que en el caso de NEO, el protocolo RPC se mejorĆ³ hace varios meses para aƱadir una capa extra de seguridad.
El desarrollador considera que la publicaciĆ³n de Tencent es difamatoria: āMencionar un fallo que hace meses que no existe, y que cuando existĆa no era para el usuario que usa NEO, sino para el que realmente quiere usar esa opciĆ³n, solo puede tener el fin de manipulaciĆ³n del mercadoā.
RecalcĆ³ que el tema de la seguridad es muy sensible en NEO y que, de hecho, tiene bug bounties para aquellos que encuentren fallas en la red reciban una recompensa. āCon mĆ”s motivo, si dicha vulnerabilidad fuera real, el que lo encontrĆ³ (que en este caso fuimos nosotros hace un aƱo casi) recibirĆa una recompensa econĆ³mica por elloā, sentenciĆ³.
El pasado 1Ā° de diciembre, el laboratorio de Seguridad de Tencent publicĆ³ en la red de Weibo que los usuarios de NEO estaban expuestos a perder sus fondos por robos remotos si utilizaban la configuraciĆ³n predeterminada para acceder a sus monederos.
Tencent habĆa seƱalado que los usuarios del cliente NEO-CLI debĆan actualizarse a la versiĆ³n mĆ”s reciente, asĆ como tambiĆ©n evitar la funciĆ³n RPC. Para aquel entonces, desde CriptoNoticias se intentĆ³ contactar al equipo de NEO, pero no se obtuvieron respuestas.
Tras ello, el cofundador Erick Zhang aclarĆ³ que no existĆa tal riesgo de robo remoto para usuarios comunes de NEO. En aquel momento, Zhang informĆ³ que el protocolo RPC solo puede ser invocado por el cliente NEO-CLI, de manera que usuarios comunes de NEO no pueden acceder a travĆ©s de esta modalidad.
Zhang aƱadiĆ³ que āNEO-CLI no activarĆ” RPC en la configuraciĆ³n predeterminada, y solo lo harĆ” en circunstancias especiales con un parĆ”metro de lĆnea de comando adicionalā y que, āA menos que los usuarios cambien manualmente los archivos de configuraciĆ³n, se pueden eliminar las posibilidades de riesgos relacionadosā.
Imagen destacada por gstockstudio / stock.adobe.com
4.5