Trang chủ
Tin tức
Chi tiết

Lớp đồng thuận Cosmos CometBFT tiết lộ lỗ hổng 0-day nguy hiểm cao

iconKuCoinFlash
Chia sẻ
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ATOM
$1,83462,11%
AI summary iconTóm tắt

expand icon
Vào ngày 21 tháng 4 (UTC+8), nhà nghiên cứu bảo mật Doyeon Park đã tiết lộ một lỗ hổng 0-day nguy hiểm cao trong lớp đồng thuận CometBFT của blockchain Cosmos IBC cấp 1, với điểm CVSS là 7,1. Lỗ hổng này có thể khiến các nút mạng quản lý hơn 8 tỷ USD tài sản bị đình trệ trong quá trình đồng bộ khối, mặc dù không dẫn đến việc đánh cắp tài sản. Chi tiết kỹ thuật có sẵn trên GitHub, nhưng chưa có mã khai thác nào được công bố. Park chỉ trích Cosmos vì từ chối các báo cáo công khai, đánh dấu bản nộp trên HackerOne là spam và hạ mức độ nghiêm trọng. Ông cảnh báo các validator không nên khởi động lại các nút trước khi có bản vá, vì có thể xảy ra tình trạng treo đồng bộ nếu các nút bị tiếp xúc với các đồng nghiệp độc hại.

Theo tin tức từ ME News, vào ngày 21 tháng 4 (UTC+8), nhà nghiên cứu bảo mật Doyeon Park đã tiết lộ một lỗ hổng 0-day trong lớp đồng thuận của Cosmos (CometBFT), với điểm CVSS là 7,1 (nguy hiểm cao). Lỗ hổng này có thể khiến các nút trong hệ sinh thái Cosmos, hỗ trợ hơn 8 tỷ USD tài sản, bị đình trệ trong giai đoạn đồng bộ khối, nhưng không dẫn đến việc tài sản bị đánh cắp trực tiếp. Hiện các chi tiết kỹ thuật liên quan đã được công bố trên GitHub, nhưng nhà nghiên cứu chưa công bố mã tấn công đầy đủ. Doyeon Park cho biết, do đội ngũ Cosmos thiếu hợp tác trong quá trình xử lý, bao gồm từ chối công khai báo cáo, đánh dấu báo cáo trên HackerOne là spam, và vi phạm tiêu chuẩn quốc tế khi hạ cấp độ lỗ hổng, anh đã quyết định công khai tiết lộ sau nhiều lần giao tiếp không thành công. Park đã cung cấp “hướng dẫn sinh tồn” cho các người xác thực Cosmos, khuyến nghị mạnh mẽ tránh khởi động lại nút trước khi bản vá được phát hành. Lỗ hổng này sẽ được kích hoạt trong giai đoạn đồng bộ khối; nếu nút được khởi động lại và bắt đầu quá trình đồng bộ, việc tiếp xúc với các nút đồng cấp độc hại có thể gây ra tình trạng chết cứng, khiến nút không thể tái gia nhập mạng lưới. (Nguồn: Foresight News)

Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này. Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụngTiết lộ rủi ro của chúng tôi.