Un chercheur en sécurité a rendu publique une faille zero-day de haute gravité dans CometBFT, le moteur de consensus de l'écosystème Cosmos, qui pourrait entraîner des arrêts opérationnels à l'échelle du réseau. La divulgation publique, attribuée par le chercheur à une rupture de communication avec les développeurs du projet, met désormais la pression sur des dizaines de chaînes de l'écosystème Cosmos pour corriger la faille avant qu'elle ne soit activement exploitée.
Une vulnérabilité de haute gravité dans le moteur de consensus qui sous-tend l'écosystème Cosmos a été rendue publique par un chercheur en sécurité, créant un nouveau vecteur d'attaque qui pourrait paralyser les opérations de dizaines de blockchains interconnectées.
« Il s'agit d'une vulnérabilité de haute gravité (CVSS 7.1) qui peut provoquer l'arrêt de tous les nœuds du réseau », a déclaré le chercheur en sécurité Doyeon Park dans un message sur la plateforme de médias sociaux X, où les détails de la vulnérabilité ont été publiés. Park a cité une rupture dans le processus de divulgation coordonnée des vulnérabilités avec les responsables du projet comme raison de la publication publique, une affirmation à laquelle l'équipe CometBFT n'a pas encore répondu publiquement.
La faille zero-day réside dans CometBFT, la couche de consensus et de mise en réseau anciennement connue sous le nom de Tendermint Core, qui est utilisée par une partie importante des chaînes construites sur le kit de développement logiciel (SDK) Cosmos. Selon la divulgation de Park, un acteur malveillant pourrait déclencher le bug pendant la synchronisation des blocs, provoquant le crash des nœuds et l'arrêt effectif du réseau. Bien que la vulnérabilité ne permette pas directement le vol d'actifs, une panne prolongée du réseau pourrait avoir des conséquences financières et réputationnelles importantes pour les projets s'appuyant sur cette technologie, notamment le Cosmos Hub et son jeton natif ATOM.
Cette divulgation met en évidence un défi persistant dans le monde du logiciel décentralisé, où la responsabilité du correctif des infrastructures critiques est souvent répartie entre plusieurs équipes indépendantes. L'incident présente des similitudes avec des exploits récents dans le paysage technologique plus large, tels que les multiples failles zero-day affectant l'infrastructure SD-WAN de Cisco et le logiciel Defender de Microsoft, qui ont mis la pression sur les organisations pour appliquer rapidement des correctifs. Pour l'écosystème Cosmos, la course est désormais lancée pour que les opérateurs de chaînes individuels appliquent un correctif avant que des attaquants ne puissent exploiter les détails de la faille désormais publics.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
