Vulnerabilidad Crítica en CometBFT
El investigador Doyeon Park ha revelado una vulnerabilidad crítica de alta gravedad en CometBFT, que podría paralizar las cadenas de Cosmos que aseguran más de $8 mil millones. Esta situación destaca las deficiencias en las prácticas de divulgación de la infraestructura central de criptomonedas.
Detalles de la Vulnerabilidad
La vulnerabilidad de día cero en la capa de consenso de CometBFT ha sido divulgada públicamente por Park, lo que plantea nuevas interrogantes sobre las prácticas de divulgación coordinada en la infraestructura de blockchain. Park indicó que el error, calificado con un CVSS de 7.1 (Alto), puede provocar que los nodos en las cadenas basadas en Cosmos se paralicen durante la fase de sincronización de bloques, lo que podría interrumpir redes que, en conjunto, aseguran más de $8 mil millones en valor en cadena.
«Estoy divulgando una vulnerabilidad de día cero en la capa de consenso de Cosmos (CometBFT). Este es un problema de gravedad CVSS 7.1 (Alto) que puede causar que los nodos en el ecosistema de Cosmos, que aseguran más de $8 mil millones en activos, se paralicen durante la fase de sincronización de bloques. Sin embargo, el robo directo de activos es…»
Aunque Park aclaró que el problema no permite el «robo directo de activos», advirtió que la detención o el retraso en la producción de bloques en múltiples cadenas representa un riesgo operativo y económico serio para los validadores, aplicaciones y usuarios.
Decisión de Divulgación
El investigador agregó que decidió hacer pública la vulnerabilidad solo después de que sus intentos de resolver el problema a través de los canales estándar de divulgación coordinada fracasaran debido a una «falta de cooperación» por parte del proveedor. Dado que CometBFT sustenta el consenso para muchas cadenas basadas en Cosmos-SDK, una paralización durante la sincronización de bloques puede repercutir en el ecosistema más amplio, afectando todo, desde transferencias IBC hasta protocolos DeFi construidos sobre redes afectadas.
Incluso sin fondos en riesgo inmediato, las paralizaciones prolongadas de nodos pueden desencadenar emergencias de gobernanza, debates sobre recortes y interrupciones de liquidez, especialmente en cadenas que sirven como centros de enrutamiento o albergan stablecoins denominadas en dólares.
Implicaciones para el Ecosistema de Cosmos
La decisión de Park de hacerse público resalta la tensión entre la transparencia del código abierto y la necesidad de corregir silenciosamente errores críticos en sistemas que ahora aseguran grupos de activos de miles de millones de dólares. Para los interesados en Cosmos, este incidente probablemente acelerará los llamados a establecer procesos de respuesta de seguridad más formalizados y expectativas más claras sobre los plazos de divulgación para vulnerabilidades en la capa de consenso.
