Para algunos usuarios, la seguridad de Parity sigue dejando mucho qué desear. El día de hoy han sido reportadas una serie de vulnerabilidades en esta cartera por parte de un usuario, cuestión que llamó la atención de la comunidad.
En un blog dedicado al análisis de datos se han publicado potenciales fallas de seguridad en el servicio de Parity, que podrían poner en riesgo la identidad y los fondos de los usuarios. Estos descubrimientos fueron difundidos a través de la red social Twitter por el desarrollador de BitGo Jameson Lopp.
Security alert for folks running @ParityTech nodes. H/T @WhalePanda https://t.co/x1kjJN1W2C
— Jameson Lopp (@lopp) 9 de enero de 2018
Los problemas fueron descritos en detalle en la publicación del analista autodenominado como Talos. Una de estas vulnerabilidades podía ser usada para propagar un ataque de denegación de servicio DDoS en la red Ethreum. También es posible la pérdidas memoria en libevm porque los datos almacenados se devuelven al atacante como una dirección de contrato.El analista explica que esta vulnerabilidad no se encuentra ya disponible en la configuración predeterminada de Parity y que sólo puede utilizarse durante la compilación de datos.
De igual forma, los permisos de lista blanca del servicio de Parity podrían ser demasiado permisivos con los dominios, lo que podría ocasionar que se pierdan datos confidenciales de cuentas existentes si se activan ciertas API por error.
También se identificó varias omisiones en la interfaz que permite el acceso a todas las direcciones IP disponibles y que los atacantes podrían aprovechar para acceder a funcionalidades reservadas solo para usuarios con credenciales administrativas. El usuario recomendó el uso de productos Endpoint Security que mitiguen la explotación de estas vulnerabilidades.
Ante esto, los desarrolladores de Parity respondieron a través de una imagen publicada en el hilo de Twitter, indicando a los usuarios que estas fallas determinadas por Talos ya habían sido reportadas el 22 de diciembre y anexadas a un comunicado de Parity en la plataforma Github del 29 de diciembre:
A Parity Tech le gustaría aclarar que ese incidente fue una potencial fuga de información que no expuso los datos privados sobre las cuentas, como las llaves privadas, en ningún momento, y que fue arreglado en versiones recientes. Sitios web maliciosos podían usar información pública de la cuenta que fue accesible a través de algunos JSON RCPs por defecto para plantear (pero no para firmar) transacciones indeseadas para firmar con el usuario. Considerando las expectativas de los usuarios sobre un comportamiento más conservativo, hemos cambiado las configuraciones por defecto.
Parity
Aunque el equipo asegura haber resuelto las fallas, estas debilidades han sido descubiertas luego de que un usuario congelara una biblioteca con 500 mil ETH de Parity por «accidente» intentando probar que cualquiera podría matar los contratos suscritos por la cartera.
Ante este suceso, en el mes de diciembre del año pasado, varios usuarios propusieron al equipo de desarrolladores que se realizara una bifurcación de la red de Ethereum como una medida desesperada para descongelar los fondos perdidos.
