研究员披露 Cosmos 共识层 CometBFT 中严重 CVSS 7.1 零日漏洞

Gate News 消息，4 月 22 日——安全研究员朴道延（Doyeon Park）披露了 Cosmos 的共识层 CometBFT 中一个严重 CVSS 7.1 零日漏洞，该漏洞可能导致节点在区块同步过程中冻结，从而潜在影响为 $8 十亿美元以上资产提供安全保障的网络。该漏洞无法直接窃取资金。

Park 于 2 月 22 日启动协调披露流程，但遭遇来自厂商的阻力。厂商要求提交公开的 GitHub 问题，却拒绝公开披露。3 月 4 日，HackerOne 将他提交的第二份报告标记为垃圾信息。3 月 6 日，厂商任意将一个相关漏洞 (CVE-2025-24371) 降级为“信息”（informational）级别，否定国际标准。Park 在 4 月 21 日公开披露缺陷之前，提交了网络级概念验证以反制这一决定。

Park 建议 Cosmos 验证者在发布补丁之前避免重启节点。已处于共识模式的节点可以继续运行，但重启并进入同步可能使其遭受来自恶意对等方的攻击，从而可能导致死锁。