Cosmos couche de consensus CometBFT révèle une vulnérabilité 0-day critique, pouvant entraîner un blocage des nœuds validateurs

ME News Actualités, le 21 avril (UTC+8), le chercheur en sécurité Doyeon Park a révélé une vulnérabilité 0-day dans la couche de consensus Cosmos (CometBFT), avec une note CVSS de 7,1 (à haut risque). Cette vulnérabilité pourrait entraîner un blocage (Stall) des nœuds de l’écosystème Cosmos, qui supportent plus de 8 milliards de dollars d’actifs, lors de la phase de synchronisation des blocs, mais ne causera pas directement de vol d’actifs. Actuellement, les détails techniques pertinents ont été divulgués sur GitHub, mais le chercheur n’a pas encore publié le code d’attaque complet. Doyeon Park a déclaré qu’en raison du manque de coopération de l’équipe Cosmos dans le traitement de la vulnérabilité, notamment le refus de divulguer le problème, le marquage de son rapport HackerOne comme spam, et la violation des normes internationales en abaissant le niveau de gravité de la vulnérabilité, il a décidé de divulguer publiquement après plusieurs tentatives de communication infructueuses. Park fournit un « guide de survie » aux validateurs Cosmos, recommandant fortement d’éviter de redémarrer les nœuds avant la publication du correctif. La vulnérabilité se déclenche lors de la phase de synchronisation des blocs : si un nœud redémarre et entre dans le processus de synchronisation, il pourrait être exposé à des pairs malveillants, ce qui pourrait entraîner un blocage mortel, empêchant le nœud de rejoindre à nouveau le réseau. (Source : Foresight News)