Ayon sa ME News, noong Abril 21 (UTC+8), ipinahayag ni Doyeon Park, isang security researcher, ang isang 0-day vulnerability sa Cosmos consensus layer (CometBFT) na may CVSS score na 7.1 (matinding panganib). Ang vulnerability na ito ay maaaring magdulot ng pag-stall sa mga node ng Cosmos ecosystem na sumusuporta sa higit sa $8 bilyon na assets habang nasa bloke同步 phase, ngunit hindi direktang magdudulot ng pagkawala ng mga asset. Kasalukuyang ipinahayag na ang mga teknikal na detalye sa GitHub, ngunit hindi pa naglabas ng kompletong attack code ang researcher. Sinabi ni Doyeon Park na dahil sa kawalan ng kooperasyon mula sa Cosmos team—kabilang ang pagtanggi na gawing pampubliko ang report, pagmarka ng kanilang HackerOne report bilang spam, at pagbaba ng antas ng vulnerability na labag sa international standards—decided niya na gawing pampubliko ang impormasyon pagkatapos ng maraming walang resultang komunikasyon. Binigyan ni Park ng “survival guide” para sa mga Cosmos validator, at malakas na inirerekomenda na iwasan ang pag-restart ng mga node bago maglabas ang patch. Ang vulnerability ay maaaring ma-trigger sa bloke同步 phase; kung mag-restart ang node at magsisimula sa proseso ng synchronization, maaaring magdulot ito ng deadlock kapag eksposed sa mga masama naming peer nodes, na magpapahintulot sa node na hindi makapag-return sa network. (Source: Foresight News)
Cosmos Consensus Layer na CometBFT ay Ipinahayag ang Mataas na Panganib na 0-Day Vulnerability
KuCoinFlashI-share
Summary
Noong Abril 21 (UTC+8), ipinakita ng security researcher na si Doyeon Park ang isang mataas na panganib na 0-day vulnerability sa Cosmos IBC layer 1 blockchain consensus layer na CometBFT na may CVSS score na 7.1. Ang kakulangan ay maaaring magdulot ng paghinto sa mga node na nag-aalaga ng higit sa $8 bilyon sa mga asset habang nag-synchronize ng block, bagaman hindi ito nagdudulot ng pagkawala ng asset. Ang teknikal na detalye ay nasa GitHub, ngunit wala pang ipinakalabas na exploit code. Pinagtanto ni Park ang Cosmos dahil sa pagtanggi sa mga pampublikong ulat, pagtatawag sa kanyang HackerOne submission bilang spam, at pagbaba ng antas ng kalubusan. Binaril niya ang mga validator na huwag muling i-start ang mga node bago ang patch, dahil maaaring magkaroon ng synchronization deadlocks kung eksposed sa mga masasamang peer.
Source:Ipakita ang original
Disclaimer: Ang information sa page na ito ay maaaring nakuha mula sa mga third party at hindi necessary na nagre-reflect sa mga pananaw o opinyon ng KuCoin. Ibinigay ang content na ito para sa mga pangkalahatang informational purpose lang, nang walang anumang representation o warranty ng anumang uri, at hindi rin ito dapat ipakahulugan bilang financial o investment advice. Hindi mananagot ang KuCoin para sa anumang error o omission, o para sa anumang outcome na magreresulta mula sa paggamit ng information na ito.
Maaaring maging risky ang mga investment sa mga digital asset. Pakisuri nang maigi ang mga risk ng isang produkto at ang risk tolerance mo batay sa iyong sariling kalagayang pinansyal. Para sa higit pang information, mag-refer sa aming Terms ng Paggamit at Disclosure ng Risk.