Викрито нульовий день у CometBFT: 8,0 млрд доларів вузлів мережі Cosmos під загрозою взаємного «зависання»

Дослідник безпеки Доєйон Парк (Doyeon Park) 21 квітня оприлюднив, що в шарі консенсусу Cosmos CometBFT існує критичний нульовий day-вразливість рівня CVSS 7.1 високого ризику. Вона може дозволити зловмисним одноранговим вузлам атакувати вузли на етапі синхронізації блоків (BlockSync) і спричиняти взаємне блокування (deadlock), впливаючи на мережу, яка забезпечує понад 8 млрд доларів США активів.

Технічний принцип вразливості: маніпулювання повідомленнями з боку зловмисного вузла призводить до нескінченного deadlock

Вразливість міститься в механізмі BlockSync CometBFT. У нормальних умовах під час підключення однорангові вузли повідомляють про зростаючу найновішу висоту блоку (latest). Однак наявний код не перевіряє ситуацію, коли одноранговий вузол спочатку повідомляє висоту X, а потім повідомляє нижчу висоту Y — наприклад, спочатку 2000, а потім 1001. У такому разі вузол A у синхронізації назавжди чекатиме, щоб наздогнати висоту 2000, навіть якщо зловмисний вузол від’єднано, і цільова висота не буде перерахована повторно, через що вузол потрапляє в нескінченне deadlock і не може знову приєднатися до мережі. Уражені версії: <= v0.38.16 і v1.0.0; виправлені версії: v1.0.1 і v0.38.17.

Зрив узгодженого розкриття: повна хронологія зниження CVE з боку постачальника

Парк дотримувався стандартного процесу узгодженого розкриття вразливостей (CVD), але під час нього кілька разів виникали перешкоди: 22 лютого він подав перший звіт, і постачальник вимагав подавати його у формі публічного GitHub issue, але відмовився публічно розкривати інформацію; 4 березня другий звіт був позначений у HackerOne як спам; 6 березня постачальник самостійно знизив серйозність вразливості з «середньої/високої» до «інформаційної (вплив можна ігнорувати)», а Парк подав мережевий концептуальний proof-of-concept (PoC), щоб спростувати це; 21 квітня було ухвалено остаточне рішення про публічне розкриття.

Парк також зазначив, що постачальник раніше виконував подібні операції зниження для CVE-2025-24371 — вразливості з таким самим впливом — що, на його думку, порушує загальновизнані міжнародні стандарти оцінювання вразливостей, зокрема CVSS.

Екстрені інструкції: які дії мають вжити валідатори зараз

Перед офіційним розгортанням патча Парк рекомендує всім валідаторам Cosmos по можливості уникати перезапуску вузлів. Вузли, які вже працюють у режимі консенсусу, можуть продовжувати нормальну роботу; однак якщо їх перезапустити та вони увійдуть у процес синхронізації BlockSync, вони можуть потрапити в deadlock через атаку з боку зловмисних однорангових вузлів.

Як тимчасове пом’якшення: якщо BlockSync зависає, можна через підвищення рівня журналювання виявити повідомлення, що вказують на недійсні висоти зловмисних однорангових вузлів, а також заблокувати цей вузол на рівні P2P. Найрадикальніше рішення — якомога швидше оновитися до вже виправлених версій v1.0.1 або v0.38.17.

Поширені запитання

Чи можна цю вразливість CometBFT напряму використати для крадіжки активів?

Ні. Ця вразливість не дає змоги напряму викрасти активи або поставити під загрозу безпеку коштів у ланцюжку. Її вплив полягає в тому, що вузол потрапляє в deadlock на етапі синхронізації BlockSync, через що вузол не може коректно брати участь у мережі. Це може вплинути на здатність валідаторів робити блоки та виконувати голосування, а отже — на активність відповідних блокчейнів.

Як валідатори можуть визначити, чи вузол зазнав атаки через цю вразливість?

Якщо вузол зависає на етапі BlockSync, зупинка збільшення цільової висоти є потенційною ознакою. Можна підвищити рівень журналювання модуля BlockSync, перевірити, чи є записи про однорангові вузли, які надсилають повідомлення з аномальними висотами, щоб ідентифікувати потенційні зловмисні вузли, а потім заблокувати їх на рівні P2P.

Чи відповідає стандартам те, що постачальник знизив рівень вразливості до «інформаційної»?

Оцінка CVSS Парк (7.1, високий ризик) ґрунтується на стандартній міжнародній методиці оцінювання, і Парк подав перевірюваний мережевий PoC, щоб спростувати рішення про зниження. Те, що постачальник знизив її до «вплив можна ігнорувати», безпекова спільнота вважає таким, що суперечить загальновизнаним міжнародним стандартам оцінювання вразливостей, зокрема CVSS. Ця суперечка є однією з ключових причин, чому Парк у підсумку вирішив публічно розкрити інформацію.