Обнаружение уязвимости в CometBFT
Исследователь Доеон Пак обнаружил уязвимость нулевого дня высокой степени серьезности в консенсусном слое CometBFT, используемом в экосистеме Cosmos. Эта уязвимость может привести к остановке цепочек Cosmos, которые обеспечивают безопасность активов на сумму более $8 миллиардов, и подчеркивает недостатки в практике раскрытия информации в основной криптоинфраструктуре.
Характеристика уязвимости
Критическая уязвимость, оцененная в 7.1 по шкале CVSS (высокая степень серьезности), была публично раскрыта Доеоном Паком, что вызвало новые вопросы о методах координированного раскрытия информации в блокчейн-инфраструктуре. Пак сообщил, что ошибка может привести к остановке узлов в цепочках на основе Cosmos во время фазы синхронизации блоков, что потенциально нарушает работу сетей, обеспечивающих более $8 миллиардов в ончейн-ценности.
Риски и последствия
В своем посте в X Пак отметил, что проблема не позволяет «прямую кражу активов», однако предупредил, что остановка или задержка производства блоков на нескольких цепочках представляет собой серьезный операционный и экономический риск для валидаторов, приложений и пользователей.
Исследователь добавил, что они решили раскрыть уязвимость публично только после того, как попытки решить проблему через стандартные каналы координированного раскрытия уязвимостей не увенчались успехом из-за «недостатка сотрудничества» со стороны поставщика.
Влияние на экосистему
Поскольку CometBFT поддерживает консенсус для многих цепочек на основе Cosmos-SDK, остановка во время синхронизации блоков может вызвать волновые эффекты в более широкой экосистеме, влияя на все, от IBC-передач до DeFi-протоколов, построенных на затронутых сетях. Даже без непосредственного риска для средств, длительные остановки узлов могут привести к чрезвычайным ситуациям в управлении, дебатам о снижении и нарушениям ликвидности, особенно на цепочках, которые служат основными узловыми центрами маршрутизации или хостят стейблкоины, номинированные в долларах.
Заключение
Решение Пака раскрыть уязвимость подчеркивает напряженность между прозрачностью с открытым исходным кодом и необходимостью тихо устранять критические ошибки в системах, которые теперь обеспечивают многомиллиардные пул активов. Для заинтересованных сторон Cosmos этот инцидент, вероятно, ускорит призывы к более формализованным процессам реагирования на безопасность и более четким ожиданиям относительно сроков раскрытия информации о уязвимостях консенсусного слоя.
