El ingeniero de software Everton Fraga advirtió a través del blog oficial de Ethereum Project que los usuarios que utilicen navegadores Mist desde la versión 0.9.3 en adelante para visitar sitios web poco confiables se están exponiendo al riesgo de que roben sus claves privadas. Esto debido a una vulnerabilidad de Chromium que afecta a las versiones beta de Mist.
Fraga añadió que los usuarios de Ethereum Wallet no se verán afectados.
Como la aplicación de escritorio Ethereum Wallet no califica como navegador -solo tiene acceso a la cartera Dapp local- no está sujeta a la misma categoría de problemas presentes en Mist. Por ahora, se recomienda utilizar Ethereum Wallet para administrar fondos e interactuar con contratos inteligentes en su lugar.
Everton Fraga
Ingeniero de software
Según describió Fraga, durante el año pasado solucionaron diversos problemas detectados por la firma alemana de ciberseguridad Cure53, lo que permitió mejorar la seguridad tanto del navegador Mist como de la plataforma subyacente, llamada Electron, la cual a su vez se basa en Chromium. Pero tales esfuerzos no han sido suficientes, debido a que crear un navegador que maneja claves privadas representa un desafío y la seguridad en el ciberespacio es “Una batalla interminable”.
Fraga explicó que cada versión de Chromium soluciona problemas asociados con la seguridad, pero recientemente Electron no se ha estado actualizando con Chromium, lo que ha dado cabida a un riesgo de ataque que va aumentando con el pasar del tiempo. ¿Cuál es la relación con Mist? Electron es la capa entre Mist y Chromium.
Un problema central con la arquitectura actual es que cualquier vulnerabilidad de 0 días de Chromium está a varios pasos de distancia de Mist: primero Chromium necesita ser parchado, luego Electron necesita actualizar la versión de Chromium, y finalmente, Mist necesita actualizarse a la nueva versión electrónica.
Everton Fraga
Ingeniero de software
Reducir la brecha entre las versiones de Electron y Chromium es el centro de interés del equipo detrás de Mist, que ya están considerando como una opción al explorador descentralizado Brave, una bifurcación de Electron cuya exigencia de seguridad es como la de Mist y que además tiene integrada una cartera de criptomonedas y además “sigue de cerca las actualizaciones de Chromium”, destacó Fraga.
El navegador Mist de Ethereum todavía está en fase de prueba, por lo que no existen garantías de ningún tipo. De manera que Fraga insta a evitar guardar fondos ETH en llaves privadas en línea y aconseja más bien almacenarlos en carteras de escritorio, carteras frías, en contratos inteligentes, o en una combinación de estos. Otras de las recomendaciones señaladas por Fraga comprenden hacer una copia de seguridad de las claves privadas; no visitar sitios web o redes poco confiables con Mist; actualizar el navegador de costumbre; guardar un registro del sistema operativo y de las actualizaciones de antivirus.
Esta advertencia no debe ser subestimada, más cuando proyectos basados en Ethereum ya han sido objetos de ataques debido a las vulnerabilidades detectadas, como ocurrió con Parity, lo que generó que más de 150 millones de dólares fueran congelados, sin esperanza de obtenerlos hasta que ocurra el hardfork Constantinople el año que viene. Y recientemente, un estudio indicó que los sitios web asociados a criptomonedas son los principales blancos de ataques DDos.