Según noticias de ME, el 21 de abril (UTC+8), el investigador de seguridad Doyeon Park reveló una vulnerabilidad 0-day en la capa de consenso de Cosmos (CometBFT), con una puntuación CVSS de 7.1 (alta). Esta vulnerabilidad podría provocar que los nodos del ecosistema Cosmos, que respaldan activos por más de 8 mil millones de dólares, se queden estancados durante la fase de sincronización de bloques, pero no conduciría directamente al robo de activos. Actualmente, los detalles técnicos relacionados ya se han revelado en GitHub, pero el investigador aún no ha publicado el código de ataque completo. Doyeon Park indicó que, debido a la falta de cooperación por parte del equipo de Cosmos —incluyendo la negativa a hacer pública la denuncia, marcar su informe en HackerOne como spam y violar estándares internacionales al reducir la clasificación de la vulnerabilidad— decidió realizar una divulgación pública tras múltiples intentos fallidos de comunicación. Park proporcionó una "guía de supervivencia" para validadores de Cosmos, recomendando encarecidamente evitar reiniciar los nodos antes de que se lance el parche. La vulnerabilidad se activa durante la fase de sincronización de bloques; si un nodo se reinicia y entra en el proceso de sincronización, la exposición a nodos peer maliciosos podría provocar un bloqueo que impida su reincorporación a la red. (Fuente: Foresight News)
La capa de consenso de Cosmos, CometBFT, revela una vulnerabilidad de día cero de alto riesgo
KuCoinFlashCompartir
Resumen
El 21 de abril (UTC+8), el investigador de seguridad Doyeon Park reveló una vulnerabilidad de día cero de alto riesgo en la capa de consenso CometBFT de la cadena de bloques Cosmos IBC nivel 1, con una puntuación CVSS de 7.1. La falla podría provocar que los nodos que gestionan más de $8 mil millones en activos se detengan durante la sincronización de bloques, aunque no conlleva robo de activos. Los detalles técnicos están en GitHub, pero no se ha liberado código de explotación. Park criticó a Cosmos por rechazar informes públicos, marcar su envío en HackerOne como spam y reducir la gravedad. Advertió a los validadores que no reinicien los nodos antes de un parche, ya que podrían ocurrir bloqueos de sincronización si se exponen a pares maliciosos.
Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información.
Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.