La red Ethereum, al igual que cualquier sistema operativo, necesita ser actualizada periódicamente para corregir las fachas de seguridad. Sin embargo, algunos usuarios de nodos de Ethereum no parecen estar cumpliendo esta medida básica.
El colectivo de investigación de piratería global SRLabs determinó que solo dos tercios de los clientes Ethereum que ejecutan los nodos de la red no se han parcheado contra una falla de seguridad crítica descubierta a principios de este año.
“Según los datos recopilados, solo dos tercios de los nodos han sido parcheados hasta el momento“, dijo Karsten Nohl, uno de los investigadores. La falla crítica es una vulnerabilidad de denegación de servicio (DoS) en el cliente Ethereum Parity. Según los SRLabs, la vulnerabilidad permite a un atacante bloquear de forma remota los nodos de Ethereum mediante el envío de paquetes con formato incorrecto.
El problema se solucionó con el lanzamiento del cliente Ethereum Parity v2.2.10, a mediados de febrero de este año, unos días después de que se informara la vulnerabilidad. Un mes después, los investigadores de SRLabs escanearon la cadena de bloques Ethereum para verificar cuántos nodos de Parity habían actualizado a sus clientes a la nueva versión.
“Un mes después de esta alerta, utilizamos los datos de Ethernodes.org para evaluar la seguridad del panorama de nodos de Ethereum y encontramos que aproximadamente el 40% de todos los nodos de Ethereum Parity escaneados […] permanecieron sin parches y, por lo tanto, vulnerables al ataque mencionado”, señala el informe.
Asimismo, el más reciente informe reveló que los nodos de paridad no parcheados comprenden 15% de todos los nodos escaneados. El lento ritmo de parcheo en respuesta a las vulnerabilidades descubiertas se demostró aún más en el análisis más amplio de SRLabs, que encontró que 7% de los nodos activos de Ethereum Parity no habían sido parcheados durante nueve meses, lo que los hacía susceptibles a otras fallas detectadas.