Kritisk Sårbarhet i CometBFT
Forsker Doyeon Park har avdekket en kritisk zero-day sårbarhet i CometBFT, konsensuslaget for Cosmos, som kan stoppe Cosmos-kjeder som sammen sikrer over 8 milliarder dollar. Dette reiser spørsmål om avsløringspraksisene i kjerneinfrastrukturen for kryptovaluta.
Alvorlighetsgrad og Potensielle Konsekvenser
Den alvorlige sårbarheten, vurdert til CVSS 7.1 (Høy), kan føre til at noder på tvers av Cosmos-baserte kjeder stopper opp under blokk synkroniseringsfasen, noe som potensielt kan forstyrre nettverk som sammen sikrer mer enn 8 milliarder dollar i on-chain verdi.
«Jeg har avdekket en zero-day sårbarhet i Cosmos» konsensuslag (CometBFT). Dette er et CVSS 7.1 (Høy) alvorlighetsgrad problem som kan forårsake at noder i Cosmos-økosystemet, som sikrer over 8 milliarder dollar i eiendeler, stopper opp under blokk synkroniseringsfasen. Imidlertid tillater det ikke direkte tyveri av eiendeler.»
I et innlegg på X skrev Park at problemet ikke tillater «direkte tyveri av eiendeler,» men advarte om at stans eller forsinkelse av blokkproduksjon på tvers av flere kjeder fortsatt utgjør en alvorlig operasjonell og økonomisk risiko for validatorer, applikasjoner og brukere.
Offentliggjøring av Sårbarheten
Forskeren la til at de valgte å offentliggjøre utnyttelsen først etter at forsøk på å løse problemet gjennom standard koordinerte sårbarhetsavsløringskanaler brøt sammen på grunn av «mangel på samarbeid» fra leverandøren.
Siden CometBFT ligger til grunn for konsensus for mange Cosmos-SDK-baserte kjeder, kan en stans under blokk synkronisering påvirke hele økosystemet, og påvirke alt fra IBC-overføringer til DeFi-protokoller bygget på toppen av berørte nettverk.
Mulige Økonomiske Konsekvenser
Selv uten midler i umiddelbar risiko, kan vedvarende nodestans utløse styringskriser, debatter om slashing og likviditetsforstyrrelser, spesielt på kjeder som fungerer som kjerne rutingsnav eller huser dollar-denominerte stablecoins.
Fremtidige Tiltak
Parks beslutning om å gå offentlig fremhever spenningen mellom åpen kildekode-transparens og behovet for stille å fikse kritiske feil i systemer som nå sikrer multi-milliard dollar eiendelsbassenger. For Cosmos-interessenter er hendelsen sannsynlig å akselerere krav om mer formaliserte sikkerhetsresponsprosesser og klarere forventninger rundt avsløringstidslinjer for sårbarheter i konsensuslag.
