Camada de Consenso do Cosmos CometBFT revela vulnerabilidade de dia zero de alto risco

Notícia da ME, em 21 de abril (UTC+8), o pesquisador de segurança Doyeon Park revelou uma vulnerabilidade zero-day na camada de consenso do Cosmos (CometBFT), com pontuação CVSS de 7,1 (alta). Essa vulnerabilidade pode causar estagnação (Stall) dos nós da ecossistema Cosmos, que suportam mais de US$ 8 bilhões em ativos, durante a fase de sincronização de blocos, mas não leva diretamente ao roubo de ativos. Atualmente, os detalhes técnicos relacionados já foram divulgados no GitHub, mas o pesquisador ainda não publicou o código de ataque completo. Doyeon Park afirmou que, devido à falta de cooperação da equipe do Cosmos durante o processo de tratamento — incluindo a recusa em tornar o relatório público, marcar seu relatório no HackerOne como spam e violar padrões internacionais ao reduzir a classificação da vulnerabilidade — ele decidiu realizar a divulgação pública após múltiplas tentativas de comunicação sem sucesso. Park forneceu um "guia de sobrevivência" para validadores do Cosmos, recomendando fortemente que evitem reiniciar os nós até que um patch seja lançado. A vulnerabilidade é acionada durante a fase de sincronização de blocos; se um nó for reiniciado e entrar no processo de sincronização, a exposição a nós maliciosos pode causar um deadlock, impedindo que o nó se junte novamente à rede. (Fonte: Foresight News)