Metamask lanceta útil para proteger de robos desarrolladores de Ethereum

By | March 10, 2021


Un ataque contra el entorno de pruebas y incremento HardHat, perjudicó a 50 desarrolladores de contratos inteligentes de Ethereum.

Según reportó Metamask, compañía que provee un popular monedero de Ethereum, el pasado 20 de febrero de 2021 hackers lograron vulnerar la biblioteca de código fuente del software HardHat. Un software desarrollado por NomicLabs y que es utilizado por programadores de Ethereum para crear contratos inteligentes.

Los hackers lograron registrar un código ladino directamente en el NPM utilizado, que es el principal entorno de ejecución de javascript, jerigonza de programación utilizado en HardHat.

El ataque tomaba superioridad de un error de tipeo respecto al comando “@nomiclabs/hardhat-waffle”. Según explica la publicación, el hacker registró en el NPM el comando “hardhat-waffle”, lo que claramente se prestaba a confusión con el código auténtico. Waffle es un entorno de pruebas para contratos inteligentes de Ethereum que se integra con HardHat.

Así, el hacker esperaría a que alguna víctima potencial escriba en el directorio “hardhat-waflle”, simplemente, lo que le daría entrada a la computadora en cuestión.

De esa forma, cuando los desarrolladores buscaban ejecutar el comando @nomiclabs/hardhat-waffle, se confundían con la opción maliciosa y terminaban por autorizar la instalación de un paquete ladino hecho para robar información sensible, como directorios y contraseñas, y la enviaba a un servidor remoto perteneciente a los atacantes.

MetaMask informa, en su investigación sobre este ataque, que ha osado una útil de uso vaco y código libre citación LavaMoat, como opción a esta vulnerabilidad.

La compañía señala que la naturaleza del código libre de Ethereum y NPM es un doble filo, pues los atacantes registraron un directorio nuevo, básicamente filtrando el comando ladino en los capital sobre los que el software HardHat se apoya.

De ese modo, este incidente podría denominarse como un “ataque a la esclavitud de suministro de software (Software Supply Chain Attack), señala Metamask en el GitHub de la opción que propone.

“Estos ataques ya han ocurrido en el ecosistema de criptomonedas y presenta un aventura significativo para los desarrolladores y usuarios de carteras y aplicaciones”, afirma Metamask. La opción lavamoat/allow-scripts abre una renglón de instrucciones explícita para autorizar la instalación y ejecución de comandos NPM en el entorno utilizado.

“El propósito es que el software de un tercero no pueda obtener permisos automáticamente para ejecutarse en un entorno no seguro como es la renglón de comandos. Para lograrlo debería obtener el permiso palmario de su cirujano”.

Metamask.

Como reportamos en CriptoNoticias, la legibilidad humana ha sido buscada ampliamente para los contratos inteligentes y aplicaciones de Ethereum, como una forma de cumplimentar certezas y seguridad.

Sin incautación, en este tipo de ataques como el que acabamos de explicar, los hackers podrían tomar superioridad de deficiencias en la legibilidad de los comandos y líneas de código para infiltrarse. Resulta importante certificar que la comprobación y autenticación de procesos seguros sean legibles, pero que todavía estén blindadas contra errores humanos.



Source link