Bir güvenlik araştırmacısı, Cosmos ekosisteminin konsensüs motoru olan CometBFT'de ağ genelinde operasyonel durmalara neden olabilecek yüksek dereceli bir sıfır gün açığını kamuoyuna açıkladı. Araştırmacının proje geliştiricileriyle olan iletişim kopukluğuna bağladığı bu ifşaat, Cosmos ekosistemindeki düzinelerce zinciri, açık aktif olarak kötüye kullanılmadan önce yamalamaya zorluyor.
Cosmos ekosisteminin temelini oluşturan konsensüs motorundaki yüksek dereceli bir güvenlik açığı, bir güvenlik araştırmacısı tarafından kamuoyuna ifşa edildi ve düzinelerce birbirine bağlı blok zincirinin operasyonlarını durdurabilecek yeni bir saldırı vektörü oluşturdu.
Güvenlik araştırmacısı Doyeon Park, güvenlik açığı ayrıntılarının yayınlandığı sosyal medya platformu X'teki bir paylaşımında, "Bu, ağdaki tüm düğümlerin durmasına neden olabilecek yüksek dereceli (CVSS 7.1) bir güvenlik açığıdır" dedi. Park, kamuoyuna açıklama nedeni olarak projenin yöneticileriyle koordineli güvenlik açığı ifşa sürecindeki bir iletişim kopukluğunu gösterdi; CometBFT ekibi bu iddiaya henüz kamuya açık bir yanıt vermedi.
Sıfır gün açığı, eskiden Tendermint Core olarak bilinen ve Cosmos yazılım geliştirme kiti (SDK) üzerine inşa edilen zincirlerin önemli bir kısmı tarafından kullanılan konsensüs ve ağ katmanı olan CometBFT'de bulunuyor. Park'ın ifşasına göre, kötü niyetli bir aktör blok senkronizasyonu sırasında hatayı tetikleyerek düğümlerin çökmesine ve ağın etkili bir şekilde durmasına neden olabilir. Güvenlik açığı doğrudan varlık hırsızlığına olanak tanımasa da, uzun süreli bir ağ kesintisi, Cosmos Hub ve yerel ATOM token'ı da dahil olmak üzere bu teknolojiye güvenen projeler için önemli finansal ve itibar sonuçları doğurabilir.
Bu ifşaat, kritik altyapıyı yamalama sorumluluğunun genellikle birden fazla bağımsız ekibe dağıldığı merkeziyetsiz yazılım dünyasındaki kalıcı bir zorluğu vurguluyor. Olay, Cisco'nun SD-WAN altyapısını ve Microsoft'un Defender yazılımını etkileyen ve kuruluşları hızla düzeltmeler uygulamaya zorlayan son dönemdeki teknolojik saldırılarla paralellikler gösteriyor. Cosmos ekosistemi için şimdi, saldırganlar istismarın kamuya açık ayrıntılarını silah haline getirmeden önce bireysel zincir operatörlerinin bir yama uygulaması için yarış başlamış durumda.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.
