Los clientes de Ethereum sin parchear presentan un 51% de riesgo de ataque, dice el informe.

Los clientes de Ethereum que aún no han parcheado las vulnerabilidades conocidas representan un riesgo de seguridad para toda la red, según una nueva investigación.

Un informe de Security Research Labs que utilizó datos de ethernodes.org indica que una gran cantidad de nodos que utilizan los clientes más populares, Parity y Geth, han quedado expuestos durante “períodos prolongados de tiempo” después de que se publicaron parches para fallas de seguridad. .

SRLabs dice que informó de una vulnerabilidad en el cliente de Parity en febrero que puede abrir los nodos para que se bloqueen de forma remota.

El informe dice:

“Según nuestros datos recopilados, hasta ahora solo se han parcheado dos tercios de los nodos. Poco después de que informamos de esta vulnerabilidad, Parity lanzó una alerta de seguridad, instando a los participantes a actualizar sus nodos “.

Otro parche, lanzado el 2 de marzo, tampoco fue recogido por el 30% de los nodos de Parity, dice, mientras que el 7 por ciento de los nodos de Parity todavía tienen una versión vulnerable a una vulnerabilidad de consenso crítica parcheada en julio pasado.

Si bien el cliente de Parity tiene un proceso de actualización automatizado, “tiene una gran complejidad” y no todas las actualizaciones están incluidas, dice el informe.

La situación del parche para Geth es aún peor, indica la investigación.

“Según sus encabezados anunciados, alrededor del 44% de los nodos Geth visibles en ethernodes.org estaban por debajo de la versión v.1.8.20, una actualización crítica para la seguridad, lanzada dos meses antes de nuestra medición”, dice el SR. El equipo de Labs, señalando que Geth no tiene una función de actualización automática, aparentemente por diseño.

SR Labs continúa diciendo que al dejar un gran número de clientes potencialmente expuestos a ataques, toda la red ethereum, que depende de tener nodos de alta disponibilidad, también es vulnerable.

Para abordar el problema, el equipo sugiere que se requieren procesos “más confiables” para los clientes de actualización automática. La descentralización adicional de la red ethereum al alejar el poder de hash de las concentraciones de mineros también ayudaría, agrega, aunque parece poco probable que eso suceda y una amplia conciencia de seguridad sería clave para el éxito de la medida.