La corporación tecnológica china Tencent informó a los desarrolladores del protocolo de cadena de bloques NEO y a los operadores de los nodos en su red sobre la presencia de una vulnerabilidad que teóricamente podría permitir que un atacante robara tokens de forma remota o, como los propios investigadores llaman, participar en la "piratería remota". Sobre esto escribe Blockmanity con referencia a la publicación publicada por la división Tencent en la red social Weibo.
Según una declaración de Tencent Security Lab, cuando un usuario lanza un nodo en una red con una configuración estándar, está en riesgo. La compañía recomienda a todos los operadores de nodos NEO y titulares de GAS que presten atención a la seguridad de sus billeteras y actualicen a los clientes de manera oportuna.
Tencent propone las siguientes acciones para protegerse de esta vulnerabilidad :
- Actualice a la última versión del cliente NEO-CLI;
- Intente no utilizar la llamada a procedimiento remoto (RPC) y cambie manualmente "BindAddress" a "127.0.0.1";
- Si se debe activar RPC debido a la necesidad, intente cambiar el número de puerto de RPC utilizando el puerto https de JSON-PRC o instale un firewall.
El fundador de la nueva empresa de criptomoneda, Eric Zhang, comentó sobre una vulnerabilidad en el protocolo del proyecto que permite a los atacantes robar los tokens de los usuarios a través de la función de llamada a procedimiento remoto.
Zhang sostiene que la vulnerabilidad no amenaza a los "usuarios regulares", ya que para su funcionamiento, la función RPC debe activarse en el cliente NEO-CLI, "cuyo uso está excluido por dichos usuarios".
Zhang Erik @neoerikzhang , fundador y desarrollador principal de #NEO , negó el riesgo de robo para los usuarios normales de testigo a distancia y se explican las razones desde el punto de vista técnico. Vea el informe a continuación? pic.twitter.com/yKfXYbD8bs
– NEO Smart Economy (@NEO_Blockchain) 2 de diciembre de 2018
También llama la atención sobre el hecho de que RPC no se activa de forma predeterminada, sino solo en ciertas condiciones y a través de la línea de comandos. Lo mismo se aplica a la opción "BindAddress", que por defecto corresponde al valor "127.0.0.1".
"Si el usuario no intenta cambiar la configuración manualmente, la probabilidad de riesgos asociados puede ser excluida", dice la publicación.
En consecuencia, los usuarios que deciden cambiar la configuración manualmente, Zhang no puede garantizar nada. A mediados de junio, el desarrollador chino de software antivirus Qihoo 360 informó que la configuración incorrecta de ciertas aplicaciones y granjas en la red Ethereum hizo que sus usuarios perdieran más de $ 20 millones al tipo de cambio en ese momento.
La semana pasada, NEO anunció la apertura del Centro de Competencia en San Petersburgo y el inicio del desarrollo de un almacenamiento de archivos distribuido.
