La blockchain de Ethereum, una red de contratos inteligentes descentralizada de igual a igual, es menos segura y vulnerable a un potencial del 51% según la información compartida por un investigador de seguridad. Para ayudar a las propiedades de descentralización de la red, hay un grupo de sistemas operativos de mineros que ayudan a verificar y confirmar transacciones, también denominadas nodos. La mayoría de estos nodos están ejecutando dos clientes populares de Ethereum: Parity Ethereum (Parity) y Go-Ethereum (Geth).
El colectivo de investigación de piratería global Security Research Labs (SRLabs) ha publicado recientemente un informe que afirma que un tercio de los nodos que ejecutan clientes de Parity y más del 40% de los que ejecutan clientes de Geth ejecutan versiones obsoletas de estos clientes. Esto significa que los nodos no han instalado algunos parches de vulnerabilidad de seguridad que han sido lanzados recientemente por los respectivos desarrolladores de clientes.
En el informe, SRLabs cita una vulnerabilidad de seguridad con el cliente de Parity que identificó y del que informó a principios de este año en febrero. Esta vulnerabilidad en particular llevó a los nodos a ser controlados y bloqueados por un pirata informático remoto que los desconecta de manera efectiva. «Poco después de informar esta vulnerabilidad, Parity lanzó una alerta de seguridad, instando a los participantes a actualizar sus nodos», detalla el informe. Sin embargo, no todos los mineros han prestado atención a la llamada de atención varios meses después del lanzamiento del parche.
«De acuerdo con nuestros datos recopilados, solo dos tercios de los nodos han sido parcheados hasta ahora».
Además, Parity Technologies lanzó un parche a otra vulnerabilidad el 2 de marzo de este año, que SRLabs informa que hasta el 30% de los nodos no se han instalado. Hay un 7% más de los nodos que aún son vulnerables a una vulnerabilidad remendada en julio de 2018. SRLabs señala que los clientes de Parity tienen una función de actualización automática que debería ayudar al proceso de actualización, pero que «tiene una alta complejidad» que en su mayoría requiere que los mineros actualicen el software manualmente. Lamentablemente, muchos no lo hacen.
En el caso de Geth, el problema es más frecuente si se considera que Geth no ofrece la función de actualización automática. Según el informe:
«Alrededor del 44% de los nodos Geth visibles en ethernodes.org estaban por debajo de la versión v.1.8.20, una actualización crítica para la seguridad lanzada dos meses antes de nuestra medición».
El informe no revela la cantidad de poder de hash que estos nodos vulnerables contribuyen a la red, sin embargo, es seguro asumir que al menos el 40% de los nodos Ethereum podrían ser vulnerables a un ataque. Si se atacan los nodos, sería más fácil para los piratas informáticos controlar al menos el 51% de la tasa de hash de la red que asume el control de la red.
«Por lo tanto, los bloqueos de software son una seria preocupación de seguridad para los nodos de blockchain (a diferencia de otras piezas de software donde el hacker no suele beneficiarse de un fallo)»