Der Sicherheitsexperte Doyeon Park deckte am 21. April öffentlich eine hochriskante Zero-Day-Schwachstelle mit dem Schweregrad CVSS 7.1 in der Konsensschicht von Cosmos namens CometBFT auf. Diese kann dazu führen, dass Knoten in der Phase des BlockSync von böswilligen Peers angegriffen werden und in einen Deadlock geraten. Dadurch können Netzwerke betroffen sein, die Vermögenswerte im Wert von über 8 Milliarden US-Dollar absichern.
Technisches Prinzip der Schwachstelle: Missbrauch stark erhöhter Reports führt zu endlosem Deadlock
Die Schwachstelle liegt im BlockSync-Mechanismus von CometBFT. In der normalen Situation melden Peers beim Verbindungsaufbau fortlaufend die neueste Blockhöhe (latest). Allerdings validiert der aktuelle Code nicht, ob ein Peer nach der Meldung einer Höhe X anschließend eine niedrigere Höhe Y meldet – zum Beispiel erst 2000 und dann 1001. In diesem Fall wird der Synchronisierungsknoten A dauerhaft darauf warten, die Höhe 2000 einzuholen, selbst wenn der böswillige Peer die Verbindung trennt. Die Zielhöhe wird nicht neu berechnet, wodurch der Knoten in einen endlosen Deadlock gerät und sich nicht wieder ins Netzwerk einfügen kann. Betroffene Versionen sind <= v0.38.16 und v1.0.0. Die behobenen Versionen sind v1.0.1 und v0.38.17.
Gescheiterte koordinierte Offenlegung: Vollständige Zeitleiste, wie der Anbieter CVE downgradete
Park folgte einem standardmäßigen koordinierten Prozess der Schwachstellen-Offenlegung (CVD), stieß jedoch im Verlauf mehrfach auf Hindernisse: Am 22. Februar reichte er den ersten Bericht ein. Der Anbieter verlangte, dass er ihn in Form eines öffentlich einsehbaren GitHub issue einreicht, lehnte jedoch eine öffentliche Offenlegung ab. Am 4. März wurde der zweite Bericht von HackerOne als Spam markiert. Am 6. März senkte der Anbieter die Schwere der Schwachstelle von „mittel/hoch“ auf „informativ (Auswirkung ist vernachlässigbar)“; Park reichte daraufhin einen Netzwerk-Level-Konzeptnachweis (PoC) ein, um die Downgrade-Entscheidung zu widerlegen. Am 21. April wurde schließlich die Entscheidung getroffen, die Schwachstelle öffentlich offenzulegen.
Park wies außerdem darauf hin, dass der Anbieter zuvor bei einer Schwachstelle mit derselben Wirkung CVE-2025-24371 eine ähnliche Downgrade-Operation durchgeführt hatte. Dies wurde als Verstoß gegen CVSS und andere anerkannte internationale Standards zur Bewertung von Schwachstellen angesehen.
Dringender Hinweis: Welche Maßnahmen Validierer jetzt ergreifen müssen
Vor einer offiziellen Bereitstellung des Patches empfiehlt Park allen Cosmos-Validierern, einen Neustart der Knoten möglichst zu vermeiden. Knoten, die sich bereits im Konsensmodus befinden, können normal weiterlaufen; wenn sie jedoch neu gestartet werden und in den BlockSync-Synchronisierungsprozess eintreten, könnten sie aufgrund eines Angriffs durch böswillige Peers in einen Deadlock geraten.
Als vorübergehende Abmilderung: Wenn BlockSync feststeckt, kann man über das Erhöhen des Log-Levels (z. B. der Protokollierung) böswillige Peers identifizieren, die meldenscharfe (ungültige) Höhen ausgeben, und diesen Peer auf der P2P-Ebene blockieren. Die grundlegendste Lösung besteht darin, so schnell wie möglich auf die behobenen Versionen v1.0.1 oder v0.38.17 zu aktualisieren.
Häufige Fragen
Kann diese Schwachstelle von CometBFT direkt Vermögenswerte stehlen?
Nein. Diese Schwachstelle kann keine Vermögenswerte direkt stehlen oder Kettengelder bzw. die Sicherheit von On-Chain-Fonds unmittelbar gefährden. Ihre Auswirkung besteht darin, dass Knoten in der BlockSync-Synchronisierungsphase in einen Deadlock geraten, sodass sie nicht mehr normal am Netzwerk teilnehmen können. Dies kann die Fähigkeit von Validierern beeinträchtigen, Blöcke zu produzieren und abzustimmen, wodurch wiederum die Aktivität der betreffenden Blockchain beeinträchtigt werden kann.
Wie können Validierer feststellen, ob ein Knoten von dieser Schwachstelle angegriffen wurde?
Wenn ein Knoten in der BlockSync-Phase feststeckt, ist das Stillstehen der Erhöhung der Zielhöhe ein mögliches Anzeichen. Man kann das Log-Level des BlockSync-Moduls erhöhen und prüfen, ob Protokolle Peers mit abnormen Höhenmeldungen empfangen haben. So lassen sich potenziell böswillige Peers identifizieren und dann auf der P2P-Ebene blockieren.
Entspricht es dem Standard, wenn der Anbieter die Schwachstelle auf „informativ“ herunterstuft?
Parkes CVSS-Bewertung (7.1, hochriskant) basiert auf der standardmäßigen internationalen Bewertungsmethode, und Park reichte einen verifizierbaren Netzwerk-Level-PoC ein, um die Downgrade-Entscheidung zu widerlegen. Dass der Anbieter sie auf „Auswirkung ist vernachlässigbar“ herabstufte, wurde von der Sicherheits-Community als Verstoß gegen CVSS und andere anerkannte internationale Standards zur Bewertung von Schwachstellen angesehen. Diese Kontroverse ist auch einer der Kerngründe, warum Park sich schließlich entschied, öffentlich offenzulegen.
