Vulnerabilità Zero-Day nel Sistema CometBFT
Il ricercatore Doyeon Park ha recentemente rivelato una vulnerabilità zero-day di alta gravità nel sistema CometBFT, che potrebbe compromettere le catene di Cosmos e proteggere oltre 8 miliardi di dollari. Questa scoperta mette in luce le lacune nelle pratiche di divulgazione delle vulnerabilità all’interno dell’infrastruttura crittografica fondamentale.
Dettagli della Vulnerabilità
La vulnerabilità, classificata con un punteggio CVSS di 7.1 (Alto), può causare il blocco dei nodi nelle catene basate su Cosmos durante la fase di sincronizzazione dei blocchi, interrompendo potenzialmente reti che insieme custodiscono un valore on-chain di oltre 8 miliardi di dollari.
“Sto rivelando una vulnerabilità zero-day nel layer di consenso di Cosmos (CometBFT). Questo è un problema di gravità CVSS 7.1 (Alto) che può causare il blocco dei nodi nell’ecosistema di Cosmos, che protegge oltre 8 miliardi in asset, durante la fase di sincronizzazione dei blocchi. Tuttavia, il furto diretto di asset non è possibile…”
Implicazioni e Rischi
In un post su X, Park ha specificato che, sebbene il problema non consenta furti diretti di asset, il blocco o il ritardo nella produzione di blocchi su più catene rappresenta un serio rischio operativo ed economico per i validatori, le applicazioni e gli utenti. Ha inoltre spiegato di aver scelto di divulgare pubblicamente l’exploit solo dopo che i tentativi di risolvere il problema attraverso i canali standard di divulgazione coordinata delle vulnerabilità erano falliti a causa di una “mancanza di cooperazione” da parte del fornitore.
Poiché CometBFT supporta il consenso per molte catene basate su Cosmos-SDK, un blocco durante la sincronizzazione dei blocchi può avere ripercussioni sull’intero ecosistema, influenzando tutto, dai trasferimenti IBC ai protocolli DeFi costruiti su reti colpite. Anche in assenza di fondi a rischio immediato, i blocchi prolungati dei nodi possono innescare emergenze di governance, dibattiti sul taglio dei fondi e interruzioni della liquidità, specialmente su catene che fungono da hub di instradamento fondamentali o ospitano stablecoin denominate in dollari.
Conclusioni e Riflessioni
La decisione di Park di rendere pubblica la vulnerabilità evidenzia la tensione tra la trasparenza open-source e la necessità di correggere silenziosamente bug critici in sistemi che ora proteggono pool di asset da miliardi di dollari. Per gli stakeholder di Cosmos, questo incidente potrebbe accelerare le richieste di processi di risposta alla sicurezza più formalizzati e di aspettative più chiare riguardo ai tempi di divulgazione per le vulnerabilità del layer di consenso.
