A días del lanzamiento de su mainnet, la falla de seguridad en EOS hace aumentar el interés en la moneda

Posted by

El mundo de las criptomonedas no para de crecer, y cada día siguen apareciendo nuevas monedas digitales que se unen al mercado. El año pasado una de estas recién estrenadas criptos acaparó mucho la atención, EOS. Tanto fue el interés generado que llegó a ser declarada como la ICO más rentable del 2017. EOS surge de un proyecto que apunta a llevar la tecnología de la cadena de bloques a todas las empresas del mundo.

Desafio de EOS a futuro

EOS es el token de Block.one, la compañía que apunta a diseñar sistemas de libre mercado para “hacer segura la vida, libertad y propiedad mediante la publicación de software de código abierto, que todos puedan usan gratuitamente”, como señalan en su sitio web.

El CTO de la startup es Daniel Larimer, un genio al que podemos llamar “criptocreador en serie”, pues, además de ser co-fundador de EOS, también es el autor de iniciativas como Bitshares y su moneda bitUSD, la primera moneda sin fideicomiso vinculada al dólar, y de Steem Dollar (SBD), vinculada al proyecto Steemit.com.

El incidente EOS

Hace pocos días, EOS volvió a ser el epicentro de la atención en el ecosistema de las criptos, al ser descubierta una falla en la codificación del software que soporta a la red.

Miembros del equipo 360 Vulcan, de la importante compañía de seguridad informática china Qihoo 360, habían detectado un problema en el código de la plataforma, según lo reportaba Jinse, un medio de comunicación del país asiático este 29 de mayo:

“Recientemente, el equipo de 360 Vulcan descubrió una serie de vulnerabilidades de seguridad de alto riesgo en la plataforma de blockchain EOS. Se ha verificado que a partir de estas fallas se puede ejecutar remotamente código arbitrario en el nodo EOS. Los ataques remotos serían capaces de controlar directamente y hacerse cargo de todos los nodos que se ejecutan en EOS“.

Al ser advertidos sobre el incidente, el equipo de desarrollo de EOS puso manos a la obra, pudiendo aislar y resolver la brecha de seguridad encontrada por la gente de Qihoo 360.

Qihoo 360 salva el día

Yuki Chen, del equipo 360 Vulcan y Zhiniang Peng, quien pertenece a 360 Seguridad Central, ambos adscritos a Qihoo, fueron los héroes del día, al ser quienes detectaran las anomalías en la seguridad del software en EOS.

En el blog de Qihoo, ellos mismos describen los pormenores del hallazgo:

Encontramos y aprovechamos con éxito una vulnerabilidad de escritura fuera de límites del buffer en EOS al analizar un archivo WASM.

Para utilizar esta vulnerabilidad, el atacante podría cargar un contrato inteligente malicioso al servidor de nodos, una vez que el servidor de los nodos haya analizado el contrato, la carga maliciosa podría ejecutarse en el servidor y tomar el control del mismo.

Después de tomar el control del servidor de nodos, el atacante podría empaquetar el contrato malicioso en un nuevo bloque y controlar aún más todos los nodos de la red EOS.

WASM es la abreviación de WebAssembly, un estándar que busca implantar un nuevo formato de código binario portable para la ejecución de código Javascript del lado del cliente. WASM se creó inicialmente como un motor de compilación de código en C y C++, aunque finalmente se decidió dar soporte a otros lenguajes, como Rust, pudiendo crear scripts WASM directamente.

El estándar WebAssembly se caracteriza principalmente por tener un bytecode muy optimizado y estar diseñado para procesamiento sintáctico, lo que permite mejorar notablemente la velocidad de ejecución respecto al Javascript convencional.

La falla identificada por Chen y Peng permitiría reempaquetar un contrato inteligente nocivo en un nuevo bloque, provocando que todos los nodos de la red puedan ser controlados remotamente, lo que para EOS, y cualquier otra red, sería equivalente a una catástrofe.

Los analistas de seguridad, basados en el aprovechamiento del exploit que simularon en sus laboratorios, declararon:

“Dado que el sistema del nodo está completamente controlado, el atacante puede hacer lo que quiera, como robar la clave del supernodo EOS, controlar las transacciones de moneda virtual de la red EOS; y apoderarse de datos financieros y de privacidad contenidos en la red EOS…“.

Desafio de EOS a futuro 2

La vulnerabilidad, una falla de “escritura fuera de límite” en una estructura de datos de EOS fue hallada el 11 de mayo, y las pruebas en laboratorio, donde se exploraba el alcance de la misma, comprometiendo un supernodo de EOS, culminaron el 28. Ese mismo día fueron reportados los hallazgos directamente a Larimer, quien fue contactado por mensajes de Telegram y luego por correo electrónico.

Ya para el día 29 la falla había sido atendida en Github, aunque Yuki Chen informó luego que la solución presentada no estaba del todo completa.

Impacto en EOS

Este tipo de noticias tienden a ejercer un efecto negativo sobre los proyectos en los primeros instantes de su divulgación, pero la transparencia y la agilidad con la que ha sido manejado ha dejado la reputación y la confianza en EOS casi intacta.

Después de todo, en el ecosistema es bien sabido que los riesgos están latentes, y que su desempeño depende, en gran medida, de la experiencia de los equipos que los respaldan.

Por supuesto, EOS experimentó una baja el día 29 de mayo, consiguiendo recuperarse casi inmediatamente, como muestra los datos proporcionados por CoinMarketCap:

Grafica EOS 310518

La moneda cotiza actualmente en US$ 12,46, presentando un volumen de transacciones por más de US$ 1.000 millones, lo que parece indicar que ha salido más bien fortalecida a raíz de lo sucedido.

El lanzamiento de la mainnet de EOS está programado para el 2 de junio, y hasta el momentos no se tiene previsto posponer el mismo, aunque Larimer expresó claramente no dar luz verde hasta reparar totalmente el código.

En cuanto a los problemas con el código de EOS, el fundador BM publicó noticias relacionadas en el grupo de desarrolladores el 27 de mayo. BM dijo que recompensará a quienes descubran y envíen errores.

Las principales fallas y/o ataques a detectar incluyen: bloqueo de sistemas de nodos a través de complementos P2P o interfaces RPC; contratos inteligentes que caen en bucles infinitos o que demanden mucha memoria (más de 64 MB); usar contratos inteligentes para bloquear sistemas de nodos y realizar operaciones no autorizadas en cuentas.

http://content.etoro.com/lp/stellar/?culture=es-es&dl=30002069
 
Anuncios