Головна
Новини
Детальніше

Cosmos Consensus Layer CometBFT розкриває вразливість нульового дня високого рівня ризику

iconKuCoinFlash
Поділитися
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ATOM
$1,82961,31%
AI summary iconКороткий зміст

expand icon
21 квітня (UTC+8) дослідник безпеки Дойон Пак розкрив високоризикований 0-day вразливість у консенсусному шарі CometBFT блокчейну Cosmos IBC рівня 1 з оцінкою CVSS 7,1. Ця помилка може призвести до зупинки нод, що керують активами на суму понад 8 мільярдів доларів під час синхронізації блоків, хоча не призводить до крадіжки активів. Технічні деталі розміщені на GitHub, але код експлойту не був опублікований. Пак критикував Cosmos за відмову приймати публічні звіти, позначивши його заявку на HackerOne як спам, і зниження рівня серйозності. Він попередив валідаторів не перезапускати ноди до випуску патчу, оскільки під час впливу зловмисних пірів можуть виникнути взаємні блокування під час синхронізації.

ME News повідомляє, що 21 квітня (UTC+8) дослідник безпеки Doyeon Park розкрив 0-day уразливість у консенсусному шарі Cosmos (CometBFT) з оцінкою CVSS 7,1 (вищий рівень небезпеки). Ця уразливість може призвести до зупинки (Stall) вузлів екосистеми Cosmos, які підтримують активи на суму понад 8 млрд доларів США, під час етапу синхронізації блоків, але не призведе безпосередньо до крадіжки коштів. Наразі відповідні технічні деталі вже опубліковані на GitHub, але дослідник ще не оприлюднив повний експлойт. Doyeon Park зазначив, що через відсутність співпраці з боку команди Cosmos — включаючи відмову публікувати звіт, позначення звіту на HackerOne як спаму та порушення міжнародних стандартів шляхом зниження рівня важливості уразливості — він вирішив зробити публічне розкриття після численних невдалих спроб зв’язку. Park надав «посібник для виживання» для верифікаторів Cosmos і категорично рекомендує уникати перезавантаження вузлів до випуску патча. Уразливість активується під час синхронізації блоків: якщо вузол перезавантажиться і почне синхронізацію, взаємодія з зловмисним одноранговим вузлом може призвести до взаємної блокування (deadlock), що завадить йому знову приєднатися до мережі. (Джерело: Foresight News)

Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації. Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.