ME News ニュース、2023年4月21日(UTC+8)、セキュリティ研究者Doyeon Parkは、Cosmosのコンセンサス層(CometBFT)に関する0-day脆弱性を公開しました。CVSSスコアは7.1(高危険度)です。この脆弱性は、80億ドルを超える資産をサポートするCosmosエコシステムのノードがブロック同期段階で停止(Stall)する可能性がありますが、資産が直接盗まれることはありません。現在、関連する技術詳細はGitHubで公開されていますが、研究者は完全な攻撃コードを公開していません。Doyeon Parkは、Cosmosチームが対応過程で協力を欠き、公開報告を拒否したり、HackerOneへの報告を迷惑メールとしてマークしたり、国際標準に違反して脆弱性のレベルを引き下げたりしたため、何度もコミュニケーションを試みた後に公開を決定したと述べています。Parkは、Cosmosのバリデーターに対して「生存ガイド」を提供し、パッチがリリースされるまでノードの再起動をできるだけ避けることを強く推奨しています。この脆弱性はブロック同期段階で発生し、ノードが再起動して同期プロセスに入ると、悪意のあるピアノードに曝露され、デッドロックを引き起こし、ネットワークへの再参加が不可能になる可能性があります。(出典:Foresight News)
Cosmos コンセンサス層 CometBFT が深刻な 0-day 脆弱性を曝露、検証者ノードのデッドロックを引き起こす可能性
ME News ニュース、2023年4月21日(UTC+8)、セキュリティ研究者Doyeon Parkは、Cosmosのコンセンサス層(CometBFT)に関する0-day脆弱性を公開しました。CVSSスコアは7.1(高危険度)です。この脆弱性は、80億ドルを超える資産をサポートするCosmosエコシステムのノードがブロック同期段階で停止(Stall)する可能性がありますが、資産が直接盗まれることはありません。現在、関連する技術詳細はGitHubで公開されていますが、研究者は完全な攻撃コードを公開していません。Doyeon Parkは、Cosmosチームが対応過程で協力を欠き、公開報告を拒否したり、HackerOneへの報告を迷惑メールとしてマークしたり、国際標準に違反して脆弱性のレベルを引き下げたりしたため、何度もコミュニケーションを試みた後に公開を決定したと述べています。Parkは、Cosmosのバリデーターに対して「生存ガイド」を提供し、パッチがリリースされるまでノードの再起動をできるだけ避けることを強く推奨しています。この脆弱性はブロック同期段階で発生し、ノードが再起動して同期プロセスに入ると、悪意のあるピアノードに曝露され、デッドロックを引き起こし、ネットワークへの再参加が不可能になる可能性があります。(出典:Foresight News)