一名安全研究員公開披露了 CometBFT(Cosmos 生態系統的共識引擎)中的一個高危零日漏洞,該漏洞可能導致全網絡範圍內的運營停滯。據該研究員稱,公開披露是因為與項目開發者的溝通破裂,這目前正向 Cosmos 生態系統中的數十條鏈施壓,要求其在漏洞被利用之前緊急修復。
返回
返回
零日漏洞披露致 Cosmos Hub 面臨網絡風險
一名安全研究員公開披露了支持 Cosmos 生態系統的共識引擎中的一個高危漏洞,這創造了一個新的攻擊向量,可能導致數十個相互連接的區塊鏈運營停滯。
「這是一個高危漏洞(CVSS 7.1),可能導致網絡中所有節點停機,」安全研究員 Doyeon Park 在社交媒體平台 X 上發布漏洞細節時表示。Park 指出,與項目維護者在協調漏洞披露過程中的溝通破裂是公開發布的原因,CometBFT 團隊尚未對此說法公開回應。
該零日漏洞存在於 CometBFT 中,CometBFT 曾被稱為 Tendermint Core,是基於 Cosmos 軟件開發工具包(SDK)構建的大部分區塊鏈所使用的共識和網絡層。根據 Park 的披露,惡意行為者可能在區塊同步期間觸發該漏洞,導致節點崩潰並有效關停網絡。雖然該漏洞並不直接導致資產失竊,但長時間的網絡中斷可能會對依賴該技術的項目(包括 Cosmos Hub 及其原生代幣 ATOM)產生重大的財務和聲譽影響。
此次披露凸顯了去中心化軟件世界面臨的持續挑戰,即修復關鍵基礎設施的責任通常分散在多個獨立團隊中。該事件與近期更廣泛的技術領域漏洞相似,例如影響思科 SD-WAN 基礎設施和微軟 Defender 軟件的多個零日漏洞,這些漏洞都迫使組織迅速應用修復程序。對於 Cosmos 生態系統而言,各鏈運營商現在必須在攻擊者利用公開披露的細節進行武器化之前搶先應用補丁。
本文僅供參考,不構成投資建議。