Découverte d’une Vulnérabilité Zero-Day dans Cosmos
Le chercheur Doyeon Park a mis en lumière une vulnérabilité zero-day de haute sévérité dans la couche de consensus CometBFT de Cosmos, une faille qui pourrait paralyser les chaînes Cosmos sécurisant plus de 8 milliards de dollars. Cette découverte soulève des questions importantes sur les pratiques de divulgation dans l’infrastructure de base de la cryptomonnaie.
Évaluation de la Vulnérabilité
La vulnérabilité, évaluée à 7.1 sur l’échelle CVSS (Critères de Sévérité des Vulnérabilités), peut entraîner le blocage des nœuds au sein des chaînes basées sur Cosmos pendant la phase de synchronisation des blocs. Cela pourrait perturber des réseaux qui, ensemble, sécurisent plus de 8 milliards de dollars en valeur on-chain.
Dans un message publié sur X, Park a déclaré : « Je divulgue une vulnérabilité zero-day dans la couche de consensus de Cosmos (CometBFT). C’est un problème de sévérité CVSS 7.1 (Élevé) qui peut provoquer le blocage des nœuds dans l’écosystème Cosmos, qui sécurise plus de 8 milliards de dollars d’actifs, pendant la phase de synchronisation des blocs. Cependant, le vol direct d’actifs n’est pas possible… ».
Risques Associés
Bien que Park ait précisé que cette vulnérabilité ne permet pas le vol direct d’actifs, il a averti que l’arrêt ou le retard dans la production de blocs à travers plusieurs chaînes représente un risque opérationnel et économique sérieux pour les validateurs, les applications et les utilisateurs. Il a également mentionné qu’il avait choisi de rendre cette exploitation publique après que ses tentatives de résoudre le problème par le biais de canaux de divulgation de vulnérabilités coordonnés aient échoué en raison d’un « manque de coopération » de la part du fournisseur.
Impact sur l’Écosystème
Étant donné que CometBFT soutient le consensus pour de nombreuses chaînes basées sur Cosmos-SDK, un blocage pendant la synchronisation des blocs pourrait avoir des répercussions sur l’écosystème plus large, affectant tout, des transferts IBC aux protocoles DeFi construits sur les réseaux concernés. Même sans fonds à risque immédiat, des blocages prolongés des nœuds peuvent entraîner des urgences de gouvernance, des débats sur les réductions de récompenses et des perturbations de liquidité, en particulier sur les chaînes qui servent de hubs de routage essentiels ou qui hébergent des stablecoins libellés en dollars.
Appels à une Réponse Sécuritaire
La décision de Park de rendre cette vulnérabilité publique met en lumière la tension entre la transparence open-source et la nécessité de corriger discrètement des bugs critiques dans des systèmes qui sécurisent désormais des pools d’actifs de plusieurs milliards de dollars. Pour les parties prenantes de Cosmos, cet incident est susceptible d’accélérer les appels à des processus de réponse à la sécurité plus formalisés et à des attentes plus claires concernant les délais de divulgation pour les vulnérabilités de la couche de consensus.
