Cosmos консенсусный слой CometBFT обнаружена опасная 0-дневная уязвимость, которая может привести к зависанию узлов валидаторов

МЕ Новости, 21 апреля (UTC+8), исследователь безопасности Doyeon Park раскрыл 0-day уязвимость в консенсусном слое Cosmos (CometBFT), оцененную CVSS в 7.1 (высокий риск). Эта уязвимость может привести к остановке (Stall) узлов экосистемы Cosmos, поддерживающих более 8 миллиардов долларов активов, на этапе синхронизации блоков, но не приведет напрямую к краже активов. В настоящее время технические детали уже опубликованы на GitHub, однако исследователь еще не выпустил полный код атаки. Doyeon Park заявил, что из-за отсутствия сотрудничества со стороны команды Cosmos, включая отказ в публичном раскрытии, пометку его отчета в HackerOne как спам и нарушение международных стандартов по снижению уровня уязвимости, он решил опубликовать информацию после нескольких безуспешных попыток договориться. Park предоставил «руководство по выживанию» валидаторам Cosmos и настоятельно рекомендует избегать перезапуска узлов до выхода патча. Эта уязвимость активируется на этапе синхронизации блоков: при перезапуске узла и входе в процесс синхронизации, взаимодействие с malicious peers может привести к взаимной блокировке, что сделает невозможным повторное подключение к сети. (Источник: Foresight News)