El software de Ethereum Parity se actualizará tras detectarse un error crítico

Se ha descubierto un error de consenso crítico en un entorno de pruebas utilizado por ONE de los dos principales programas informáticos cruciales para el funcionamiento de la segunda cadena de bloques más grande del mundo.

Revelado anoche por Parity Technologies, con sede en el Reino Unido, en unentrada de blogSe descubrió que el problema provocaba que quienes ejecutaban el software se desincronizaran, lo que significa que quienes usaran un software diferente no reconocerían sus transacciones. Si bien la vulnerabilidad se encontró en una red de prueba, existe la preocupación de que también pudiera explotarse en la red principal.

Como tal, Parity ahora insta a todos los usuarios a actualizar su software a una versión recientemente parcheada.

Datos disponibles públicamente

Sugiere que el error podría haber afectado a aproximadamente el 30 % de la red Ethereum , es decir, a aquellos que utilizan software de Parity para mantenerse sincronizados con la red general. Sin embargo, según representantes de Parity, el problema se solucionó antes de que llegara a los nodos que operan la blockchain de Ethereum .

Aun así, las empresas deben actualizar el nuevo software para permanecer a salvo de la vulnerabilidad en la red principal.

Hablando en Twitter, varias empresas,incluido el grupo de minería Bitfly, han dado un paso adelante para declarar que han actualizado su software a la nueva iteración segura (1.10.6-stable o 1.11.3-beta).

A medida que las empresas que operan en Ethereum comienzan a actualizar su software para evitar el problema, Se ha teorizado que aún podría afectar a cualquier cadena de bloques que ejecute el software Parity, incluidos los usuarios de Ethereum Classic (ETC).

La noticia de la vulnerabilidad llega en un momento en el que Parity ha sido...bajo mayor escrutinio Por varios problemas de seguridad similares. En particular, en noviembre pasado, un fallo en una de las billeteras de la compañía provocó que 513.774,16 ETH(311 millones de dólares según las métricas actuales) se congelaran y, a su vez, quedaran inaccesibles para sus propietarios.

El debate sobre si se deben devolver los fondos congelados está en curso, pero mientras tanto,Parity ha declaradosu compromiso con un proceso de seguridad refinado, escribiendo:

"Nos gustaría que nuestros errores sirvieran como catalizador para un desarrollo más seguro de Ethereum ".

Tres líneas de código

En declaraciones a CoinDesk, Wei Tang, un desarrollador de Parity que ayudó con el parche de código de ayer, dijo que el error está vinculado a un fragmento de código de la propuesta de mejora de Ethereum (EIP) 86.

Previamente planeado para la actualización de Ethereum el año pasado, el EIP 86 tenía como objetivo introducir lo que se denomina "abstracción de cuenta", lo que permite enviar transacciones sin la firma del remitente. La actualización completa de Ethereum a EIP 86 se pospuso debido a su complejidad; sin embargo, Wei explicó que Parity implementó el código, posiblemente debido a su papel en la... próximo cambio de consenso.

Según Wei, el equipo a cargo de implementarlo dentro del software de Parity había pasado por alto tres líneas de código que llevaron al problema de consenso de ayer.

"Pasamos por alto una verificación condicional en nuestro código que provocó que Parity, el nodo completo, aceptara un bloque que contenía transacciones no válidas", dijo Wei a CoinDesk.

Ayer se descubrieron varias transacciones de este tipo en la red de prueba de Ropsten y, debido a la incompatibilidad de las transacciones con la cadena de bloques Ethereum más amplia, las transacciones provocaron una bifurcación entre los clientes de Parity y Geth (el mayor proveedor de software Ethereum , que representa el 60 por ciento de los usuarios).

En un comunicado de prensa, Kirill Pimenov, jefe de seguridad de Parity, dijo que en el "peor de los casos", tales transacciones habrían resultado en bloques corruptos en la red principal de Ethereum que "aún serían tratados como válidos por otros nodos de Ethereum de Parity afectados".

Si se contara con suficiente poder hash, tal explotación resultaría en una división de la cadena de bloques, continuó Pimenov.

"La respuesta a esta situación fue proactiva, lo que significa que pudimos preparar una solución antes de que alguien pudiera explotar el error. Como resultado, logramos evitar una división de la red principal", declaró Pimenov en el comunicado de prensa.

Wei se hizo eco de esto y dijo que la solución, que se publicó hace apenas unas horas, era simple.

"Agregamos esas tres líneas de la verificación condicional faltante en nuestro código", dijo Wei a CoinDesk, y agregó:

Pero sí, estas tres líneas tienen un efecto grave. Además, contamos con muchos ojos para revisar el código durante el proceso.

Botón rojo de emergenciaimagen vía Shutterstock