Alvorlig Sårbarhed i CometBFT
Forsker Doyeon Park har afsløret en alvorlig zero-day-sårbarhed i CometBFT, som kan få Cosmos-kæder til at stoppe. Dette sætter fokus på mangler i offentliggørelsespraksis inden for kernekryptoinfrastruktur. Den kritiske sårbarhed i Cosmos’ CometBFT konsensuslag er blevet offentliggjort af sikkerhedsforskeren Doyeon Park, hvilket rejser nye spørgsmål om koordinerede offentliggørelsespraksis i blockchain-infrastrukturen.
Detaljer om Sårbarheden
Park oplyser, at fejlen, der er vurderet til CVSS 7.1 (Høj), kan få noder på tværs af Cosmos-baserede kæder til at stoppe under bloksynkroniseringsfasen. Dette kan potentielt forstyrre netværk, der tilsammen sikrer mere end $8 milliarder i on-chain værdi.
“Jeg offentliggør en zero-day-sårbarhed i Cosmos konsensuslag (CometBFT). Dette er et CVSS 7.1 (Høj) alvorligt problem, der kan få noder i Cosmos-økosystemet, som sikrer over $8 milliarder i aktiver, til at stoppe under bloksynkroniseringsfasen. Selvom problemet ikke tillader ‘direkte tyveri af aktiver’, advarer jeg om, at stop eller forsinkelse af blokproduktion på tværs af flere kæder udgør en alvorlig operationel og økonomisk risiko for validatorer, applikationer og brugere,” sagde Park.
Offentliggørelsesstrategi og Konsekvenser
Forskeren tilføjede, at de valgte at offentliggøre udnyttelsen først efter, at forsøg på at løse problemet gennem standard koordinerede offentliggørelseskanaler brød sammen på grund af en “mangel på samarbejde” fra leverandøren. Da CometBFT understøtter konsensus for mange Cosmos-SDK-baserede kæder, kan et stop under bloksynkronisering påvirke hele økosystemet, hvilket kan have konsekvenser for alt fra IBC-overførsler til DeFi-protokoller, der er bygget oven på de berørte netværk.
Selv uden midler i umiddelbar risiko kan vedvarende node-stop udløse governance-nødsituationer, slashing-debatter og likviditetsforstyrrelser, især på kæder, der fungerer som kernerouting-hubs eller huser dollar-baserede stablecoins. Parks beslutning om at gå offentligt fremhæver spændingen mellem open-source gennemsigtighed og behovet for stille at lappe kritiske fejl i systemer, der nu sikrer multi-milliard-dollar aktiver.
For Cosmos-interessenter er hændelsen sandsynligvis med til at accelerere kravene om mere formaliserede sikkerhedsresponsprocesser og klarere forventninger til offentliggørelsestidslinjer for sårbarheder i konsensuslaget.
