Schwerwiegende Sicherheitslücke in CometBFT
Der Forscher Doyeon Park hat eine schwerwiegende Zero-Day-Sicherheitslücke in CometBFT veröffentlicht, die Cosmos-Ketten betrifft und über 8 Milliarden Dollar an On-Chain-Wert sichert. Diese Offenlegung wirft Fragen zu den bestehenden Praktiken der koordinierten Sicherheitsmeldungen in der Kerninfrastruktur der Kryptowährung auf.
Kritische Sicherheitsanfälligkeit
Die kritische Sicherheitsanfälligkeit in der CometBFT-Konsensschicht von Cosmos wurde von Doyeon Park öffentlich gemacht. Der Fehler, der mit einem CVSS-Score von 7.1 (hoch) bewertet wird, kann dazu führen, dass Knoten in Cosmos-basierten Ketten während der Block-Synchronisationsphase zum Stillstand kommen, was potenziell Netzwerke stören könnte, die zusammen mehr als 8 Milliarden Dollar an On-Chain-Wert sichern.
In einem Beitrag auf X erklärte Park, dass das Problem keinen „direkten Diebstahl von Vermögenswerten“ ermögliche, warnte jedoch, dass das Anhalten oder Verzögern der Blockproduktion über mehrere Ketten hinweg ein ernstes operatives und wirtschaftliches Risiko für Validatoren, Anwendungen und Benutzer darstellt.
Öffentliche Bekanntgabe der Sicherheitsanfälligkeit
Park fügte hinzu, dass sie sich entschieden haben, die Sicherheitsanfälligkeit öffentlich bekannt zu geben, nachdem die Versuche, das Problem über die üblichen koordinierten Offenlegungswege zu lösen, aufgrund eines „Mangels an Zusammenarbeit“ seitens des Anbieters gescheitert sind. Da CometBFT den Konsens für viele auf dem Cosmos-SDK basierende Ketten unterstützt, kann ein Stillstand während der Block-Synchronisation weitreichende Auswirkungen auf das gesamte Ökosystem haben, einschließlich IBC-Transfers und DeFi-Protokolle, die auf betroffenen Netzwerken basieren.
Folgen für das Cosmos-Ökosystem
Selbst ohne unmittelbar gefährdete Gelder können anhaltende Knotenstillstände Governance-Notfälle, Debatten über Slashing und Liquiditätsstörungen auslösen, insbesondere auf Ketten, die als zentrale Routing-Hubs fungieren oder Dollar-denominierte Stablecoins hosten. Parks Entscheidung, die Sicherheitsanfälligkeit öffentlich zu machen, verdeutlicht die Spannungen zwischen der Transparenz von Open Source und der Notwendigkeit, kritische Fehler in Systemen, die jetzt Multi-Milliarden-Dollar-Vermögenswerte sichern, stillschweigend zu beheben.
Für die Stakeholder im Cosmos-Ökosystem wird dieser Vorfall wahrscheinlich die Forderungen nach formalisierten Sicherheitsreaktionsprozessen und klareren Erwartungen hinsichtlich der Offenlegungsfristen für Sicherheitsanfälligkeiten in der Konsensschicht beschleunigen.
