Divulgação de uma vulnerabilidade de dia zero no CometBFT; os nós da rede Cosmos (no valor de 8 mil milhões de dólares) enfrentam o risco de deadlock fatal

A investigadora de segurança Doyeon Park revelou em 21 de abril a existência de uma vulnerabilidade zero-day de criticidade alta com nível CVSS 7.1 na camada de consenso do Cosmos, o CometBFT. A falha pode permitir que nós sejam atacados por pares maliciosos durante a fase de sincronização de blocos (BlockSync), acabando por entrar em deadlock (bloqueio permanente), afetando uma rede que protege ativos no valor de mais de 8 mil milhões de dólares.

Princípio técnico da vulnerabilidade: deadlock infinito causado por manipulação altamente reportada de nós maliciosos

A vulnerabilidade reside no mecanismo de BlockSync do CometBFT. Em condições normais, aquando da ligação os pares reportam alturas mais recentes (latest) de forma incremental. No entanto, o código atual não valida o cenário em que um par reporta primeiro uma altura X e depois reporta uma altura inferior Y — por exemplo, reportar primeiro 2000 e, em seguida, 1001. Neste caso, o nó A na sincronização ficará à espera, de forma permanente, de alcançar a altura 2000, mesmo que o nó malicioso se desligue; a altura-alvo não é recalculada, levando o nó a entrar em deadlock infinito, incapaz de se reintegrar na rede. As versões afetadas são <= v0.38.16 e v1.0.0; as versões corrigidas são v1.0.1 e v0.38.17.

Falha na divulgação coordenada: linha temporal completa da degradação do CVE pelo fornecedor

Park seguiu o processo padrão de divulgação coordenada de vulnerabilidades (CVD), mas encontrou obstáculos várias vezes durante o processo: a 22 de fevereiro submeteu o primeiro relatório; o fornecedor pediu que fosse submetido sob a forma de uma issue pública no GitHub, mas recusou a divulgação pública; a 4 de março, o segundo relatório foi marcado pela HackerOne como spam; a 6 de março, o fornecedor reduziu por conta própria a gravidade da vulnerabilidade de “médio/alto” para “informativa (impacto negligenciável)”, e Park submeteu uma prova de conceito (PoC) a nível de rede para refutar essa decisão; a 21 de abril foi tomada finalmente a decisão de divulgar publicamente.

Park também referiu que o fornecedor tinha efetuado previamente uma operação de degradação semelhante para o CVE-2025-24371, uma vulnerabilidade com efeitos semelhantes, o que é considerado violar normas internacionalmente reconhecidas para avaliação de vulnerabilidades, como o CVSS.

Orientações de emergência: ações que os validadores precisam de tomar agora

Antes da implementação oficial do patch, Park recomenda que todos os validadores do Cosmos evitem ao máximo reiniciar os nós. Os nós que já se encontram no modo de consenso podem continuar a funcionar normalmente; no entanto, se forem reiniciados e entrarem no processo de sincronização BlockSync, poderão entrar em deadlock devido a um ataque por parte de nós maliciosos.

Como medida de mitigação temporária: se for detetado que o BlockSync ficou “preso”, pode-se identificar os pares maliciosos que reportam alturas inválidas aumentando o nível de registo (log), e bloquear esse nó na camada P2P. A solução mais fundamental é fazer upgrade o mais rapidamente possível para as versões corrigidas v1.0.1 ou v0.38.17.

Perguntas frequentes

Esta vulnerabilidade do CometBFT consegue roubar ativos diretamente?

Não. Esta vulnerabilidade não consegue roubar ativos diretamente nem comprometer a segurança dos fundos na cadeia. O seu impacto é fazer com que os nós entrem em deadlock na fase de sincronização BlockSync, impedindo que os nós participem corretamente na rede. Isto pode afetar a capacidade dos validadores de propor blocos (propor) e de votar, afetando assim a atividade das cadeias de blocos relacionadas.

Como é que os validadores podem determinar se um nó foi atacado por esta vulnerabilidade?

Se um nó ficar preso na fase BlockSync, a paragem da progressão da altura-alvo é um sinal possível. Pode-se aumentar o nível de registo do módulo BlockSync para verificar se há registos de pares que tenham enviado mensagens de altura anormais, permitindo identificar potenciais nós maliciosos e bloqueá-los na camada P2P.

O facto de o fornecedor ter degradado a vulnerabilidade para “informativa” cumpre os padrões?

A pontuação CVSS de Park (7.1, alta) baseia-se no método padrão internacional de avaliação, e Park apresentou uma PoC verificável a nível de rede para refutar a decisão de degradação. O facto de o fornecedor a ter reduzido para “impacto negligenciável” é considerado pela comunidade de segurança como uma violação das normas internacionalmente reconhecidas para avaliação de vulnerabilidades, como o CVSS. Esta controvérsia é também uma das razões centrais para Park ter decidido, por fim, divulgar publicamente.