Un investigador de seguridad ha revelado públicamente una vulnerabilidad de día cero de alta gravedad en CometBFT, el motor de consenso para el ecosistema Cosmos, que podría causar paradas operativas en toda la red. La divulgación pública, que el investigador atribuyó a una ruptura en la comunicación con los desarrolladores del proyecto, ahora presiona a docenas de cadenas en el ecosistema Cosmos para corregir el fallo antes de que sea explotado activamente.
Un investigador de seguridad ha revelado públicamente una vulnerabilidad de alta gravedad en el motor de consenso que sustenta el ecosistema Cosmos, creando un nuevo vector de ataque que podría paralizar las operaciones de docenas de blockchains interconectadas.
"Esta es una vulnerabilidad de alta gravedad (CVSS 7.1) que puede causar que todos los nodos de la red se detengan", dijo el investigador de seguridad Doyeon Park en una publicación en la plataforma de redes sociales X, donde se publicaron los detalles de la vulnerabilidad. Park citó una ruptura en el proceso coordinado de divulgación de vulnerabilidades con los mantenedores del proyecto como la razón de la publicación pública, una afirmación que el equipo de CometBFT aún no ha abordado públicamente.
La vulnerabilidad de día cero reside en CometBFT, la capa de consenso y redes anteriormente conocida como Tendermint Core, que es utilizada por una parte significativa de las cadenas construidas sobre el kit de desarrollo de software (SDK) de Cosmos. Según la divulgación de Park, un actor malicioso podría activar el error durante la sincronización de bloques, provocando que los nodos se bloqueen y deteniendo efectivamente la red. Si bien la vulnerabilidad no permite directamente el robo de activos, una interrupción prolongada de la red podría tener consecuencias financieras y de reputación significativas para los proyectos que dependen de la tecnología, incluido el Cosmos Hub y su token nativo ATOM.
La divulgación resalta un desafío persistente en el mundo del software descentralizado, donde la responsabilidad de parchear la infraestructura crítica a menudo se distribuye entre múltiples equipos independientes. El incidente guarda paralelismos con exploits recientes en el panorama tecnológico más amplio, como los múltiples días cero que afectaron a la infraestructura SD-WAN de Cisco y al software Defender de Microsoft, que han presionado a las organizaciones para que apliquen correcciones rápidamente. Para el ecosistema Cosmos, la carrera ha comenzado para que los operadores de cadenas individuales apliquen un parche antes de que los atacantes puedan utilizar los detalles del exploit disponibles públicamente.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.
