Firma china de seguridad de Internet encuentra vulnerabilidades importantes en EOS antes de su lanzamiento en mainnet

Posted by

El medio de comunicación chino Jinse informó que el equipo de desarrollo de EOS aisló y resolvió la falla de seguridad identificada por el equipo de Qihoo 360, la compañía más grande de seguridad en Internet de China.

ESO China

El anuncio del 29 de mayo indica que el equipo 360 identificó un error dentro del código EOS que haría posible que los nodos dentro de la red EOS se vean comprometidos de forma remota:

“Recientemente, el equipo de 360 ​​Vulcan descubrió una serie de vulnerabilidades de seguridad de alto riesgo en la plataforma de blockchain EOS. Se ha verificado que algunas de estas vulnerabilidades pueden ejecutar remotamente código arbitrario en el nodo EOS. Es decir, los ataques remotos pueden controlar directamente y hacerse cargo de todos los nodos que se ejecutan en EOS”.

Qihoo 360 declara a EOS susceptible a un “Ataque de Supernodo”

El equipo de desarrollo de EOS actualmente está presionando para el lanzamiento el 2 de junio de la plataforma EOS, en intercambios como Binance, Bitfinex y Kucoin, todos anunciando el apoyo del cambio de un token EOS ERC-20 a la nueva cadena de bloques EOS.

Sin embargo, el lanzamiento puede verse interrumpido si el equipo de desarrollo de EOS no puede corregir el problema identificado por Qihoo 360 antes de la fecha de lanzamiento. Según Qihoo 360, la red EOS hace posible que personas malintencionadas publiquen un contrato inteligente que contenga un código que podría crear un vector de ataque.

Por lo tanto, la falla identificada por el equipo de Qihoo 360 podría utilizarse para volver a empaquetar un contrato malicioso en un nuevo bloque, lo que provocaría que todos los nodos completos de la red se controlasen de forma remota. Esta eventualidad, afirma el equipo de Qihoo 360, sería catastrófica para la red EOS:

“Dado que el sistema del nodo está completamente controlado, el atacante puede hacer lo que quiera, como robar la clave del supernodo EOS, controlar las transacciones de moneda virtual de la red EOS; y hacerse de otros datos financieros y de privacidad en el sistema de nodo participante de la red EOS, como la clave del usuario almacenada en el monedero, perfiles de usuario clave, datos de privacidad y más”.

Tal incidente, de acuerdo con Qihoo 360, haría posible que los atacantes capturen un nodo en la red EOS en una botnet.

plus500

Lanzamiento en espera

El equipo de Qihoo 360 notificó a los funcionarios de EOS el día 29, y actualmente están trabajando activamente con el equipo de desarrollo de EOS para garantizar que el problema se resuelva antes del lanzamiento. Sin embargo, existe la posibilidad de que el mismo se posponga si no se encuentra una solución antes del 2 de junio:

“En la madrugada del día 29, Qihoo 360 informó por primera vez la vulnerabilidad a los funcionarios de EOS y los ayudó a reparar los riesgos de seguridad. La persona a cargo de la red EOS dijo que la red EOS no se lanzará oficialmente hasta que se resuelvan estos problemas”.

La supuesta falla de seguridad aparentemente se ubica dentro de la máquina virtual de contrato inteligente en la plataforma EOS, pero el equipo de Qihoo 360 aún no ha publicado ninguna documentación relacionada con el problema de seguridad.

Roshan Abraham, Jefe de Tecnología de EOS Authority, candidato a la producción de EOS, afirma que, aunque EOS Authority no ha proporcionado información específica sobre la vulnerabilidad de seguridad, es poco probable que el proyecto EOS tenga problemas de VM:

“La VM utilizada en EOS es ensamblado web. El ensamblaje web está desarrollado activamente por Google, Microsoft y otras compañías importantes. Es muy poco probable que tenga problemas de VM. Es más probable que sea un problema específico con nodeos (el programa que ejecuta la producción de bloques en cada servidor encargado de ello)”.

La colaboración entre el equipo EOS y Qihoo 360 seguramente beneficie al proyecto, pues permitirá aprovechar la experiencia y los recursos del gigante informático para mejorar la seguridad general de su blockchain antes de la fecha de lanzamiento prevista.

plus500