Selon les nouvelles de ME, le 21 avril (UTC+8), le chercheur en sécurité Doyeon Park a révélé une vulnérabilité 0-day dans la couche de consensus de Cosmos (CometBFT), avec un score CVSS de 7,1 (élevé). Cette faille pourrait provoquer un arrêt (Stall) des nœuds de l'écosystème Cosmos, qui prennent en charge plus de 8 milliards de dollars d'actifs, lors de la phase de synchronisation des blocs, mais ne permettrait pas un vol direct d'actifs. Les détails techniques associés ont déjà été publiés sur GitHub, mais le chercheur n'a pas encore publié le code d'attaque complet. Doyeon Park a indiqué que, en raison du manque de coopération de l'équipe Cosmos — notamment le refus de publier le rapport, la classification de son signalement sur HackerOne comme spam, et la réduction non conforme aux normes internationales du niveau de gravité de la vulnérabilité — il a décidé de procéder à une divulgation publique après plusieurs tentatives de communication infructueuses. Park fournit un « guide de survie » pour les validateurs Cosmos, recommandant fortement d'éviter autant que possible le redémarrage des nœuds avant la publication du correctif. La vulnérabilité se déclenche pendant la phase de synchronisation des blocs ; si un nœud est redémarré et entre en phase de synchronisation, il risque d'entrer en impasse en interagissant avec un nœud pair malveillant, ce qui l'empêchera de réintégrer le réseau. (Source : Foresight News)
La couche de consensus Cosmos CometBFT révèle une vulnérabilité 0-day à haut risque
KuCoinFlashPartager
Résumé
Le 21 avril (UTC+8), le chercheur en sécurité Doyeon Park a révélé une vulnérabilité 0-day à haut risque au niveau de la couche de consensus CometBFT de la blockchain Cosmos IBC de niveau 1, avec un score CVSS de 7,1. Ce défaut pourrait provoquer un arrêt des nœuds gérant plus de 8 milliards de dollars dactifs pendant la synchronisation des blocs, bien qu'il ne permette pas le vol d'actifs. Les détails techniques sont disponibles sur GitHub, mais aucun code d'exploitation n'a été publié. Park a critiqué Cosmos pour avoir rejeté les signalements publics, marqué sa soumission sur HackerOne comme spam et réduit la gravité du problème. Il a averti les validateurs de ne pas redémarrer les nœuds avant un correctif, car des blocages de synchronisation peuvent survenir en cas d'exposition à des pairs malveillants.
Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations.
Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.