Encuentran vulnerabilidades en Zcash, Bitcoin Core y Parity

hace 6 meses

Distintas vulnerabilidades en Zcash, Bitcoin Core y el cliente Parity de Ethereumfueron reveladas durante la semana pasada. En el caso de Zcash, el error detectado pudo haber permitido una creación infinita de monedas ZEC falsas en el escenario de haber sido explotado. Dicha vulnerabilidad al parecer subyació durante años en

Distintas vulnerabilidades en Zcash, Bitcoin Core y el cliente Parity de Ethereumfueron reveladas durante la semana pasada. En el caso de Zcash, el error detectado pudo haber permitido una creación infinita de monedas ZEC falsas en el escenario de haber sido explotado. Dicha vulnerabilidad al parecer subyació durante años en el código de Zcash sin ser detectada, específicamente en las pruebas de conocimiento cero o zk-SNARK. Fue descubierta en marzo de 2018 y desde entonces se estuvo trabajando para corregirla. Finalmente, se eliminó mediante la actualización de Zcash llamada Sapling, la cual fue activada el 28 de octubre pasado. Con todo, esta vulnerabilidad afecta a cualquier proyecto bifurcado de Zcash que mantenga la ceremonia de computación multipartita (MPC) del Sprout original. Por esta razón, Zcash mantuvo conversaciones con Horizen y Komodo, bifurcaciones de su red, para que corrigieran por su parte la vulnerabilidad.En el caso de Bitcoin, fue el desarrollador Luke Dashjr quien informó sobre la vulnerabilidad que afecta a los clientes Bitcoin Core y Bitcoin Knots. Se trata de una vulnerabilidad menor que probablemente no será corregida en Bitcoin Core pues solo afectaría a los usuarios que tengan habilitado el servicio de llamadas de procedimiento remoto (RPC). “Si eres el único usuario del computador corriendo tu nodo, no estás afectado”, se lee en la publicación. En todo caso, el vector de ataque podría hacer que el nodo colapse a consecuencia de la utilización remota del equipo en el que se corre el software. Dashjr recomienda eliminar el uso compartido del equipo donde se ejecuta el nodo para prevenir posibles ataques.La vulnerabilidad en Parity también aprovechaba las llamadas de procedimiento remoto (RPC). En este caso, un atacante podía enviar una solicitud de RPC a aquellos servicios que tuvieran expuesta públicamente su API JSON-RPC (Infura, MyEtherWallet, MyCrypto) para boquear ciertos nodos de Ethereum. En el peor escenario, esto pudo haber interrumpido el funcionamiento de una parte de Ethereum. Para evitar inconvenientes, Parity solicita a sus usuarios actualizar su cliente a las últimas versiones, la estable 2.2.9, y la beta 2.3.2.

Ver más

Comentarios