La investigadora de seguridad Doyeon Park reveló el 21 de abril que en la capa de consenso de Cosmos, CometBFT, existe una vulnerabilidad de día cero de gravedad alta con nivel 7.1 según CVSS, que podría permitir que nodos sean atacados por pares maliciosos durante la fase de sincronización de bloques (BlockSync) y queden en un estado de interbloqueo, afectando una red que protege activos por más de 8.000 millones de dólares.
Principio técnico de la vulnerabilidad: reportes altamente manipulados de altura por parte de nodos maliciosos que provocan un interbloqueo infinito
La vulnerabilidad se encuentra en el mecanismo de BlockSync de CometBFT. En condiciones normales, cuando un par se conecta, informa una altura más reciente y creciente (latest). Sin embargo, el código actual no valida el caso en que el par informe primero una altura X y luego una altura inferior Y; por ejemplo, informa primero 2000 y luego 1001. En ese momento, el nodo en sincronización A esperará permanentemente para alcanzar la altura 2000, incluso si el nodo malicioso se desconecta; y la altura objetivo no se recalcula, lo que hace que el nodo entre en un interbloqueo infinito, sin poder reincorporarse a la red. Las versiones afectadas son <= v0.38.16 y v1.0.0, y las versiones corregidas son v1.0.1 y v0.38.17.
Fallo en la divulgación coordinada: cronología completa de cómo el proveedor degradó el CVE
Park siguió el proceso estándar de divulgación coordinada de vulnerabilidades (CVD), pero en varias ocasiones encontró obstáculos: el 22 de febrero presentó el primer informe; el proveedor pidió que se enviara como un issue público en GitHub, pero se negó a realizar la divulgación pública; el 4 de marzo, el segundo informe fue marcado por HackerOne como correo basura; el 6 de marzo, el proveedor degradó la severidad de la vulnerabilidad de “media/alta” por su cuenta a “informativa (el impacto puede ignorarse)”, y Park presentó una prueba de concepto (PoC) a nivel de red para refutar la degradación; el 21 de abril se tomó finalmente la decisión de divulgarla públicamente.
Park también señaló que, anteriormente, el proveedor había realizado una operación similar de degradación del CVE-2025-24371, una vulnerabilidad con el mismo impacto, y se considera que esto viola los estándares internacionales de evaluación de vulnerabilidades reconocidos como CVSS.
Guía de emergencia: acciones que los validadores deben tomar ahora
Antes de que el parche se implemente de forma oficial, Park recomienda que todos los validadores de Cosmos eviten reiniciar los nodos en la medida de lo posible. Los nodos que ya están en modo de consenso pueden seguir funcionando con normalidad; pero si se reinician y entran en el proceso de sincronización BlockSync, podrían quedar en un interbloqueo debido al ataque de nodos maliciosos.
Como mitigación temporal: si se detecta que BlockSync se queda atascado, se puede identificar a los pares maliciosos que reportan alturas no válidas elevando el nivel de registro (logs) y bloquear ese nodo en la capa P2P. La solución más fundamental es actualizar lo antes posible a las versiones corregidas v1.0.1 o v0.38.17.
Preguntas frecuentes
¿Esta vulnerabilidad de CometBFT puede robar activos directamente?
No. Esta vulnerabilidad no puede robar activos directamente ni comprometer la seguridad de fondos en la cadena. Su impacto consiste en que los nodos caen en un interbloqueo durante la fase de sincronización BlockSync, lo que impide que los nodos participen normalmente en la red. Esto podría afectar la capacidad de los validadores para proponer bloques y votar, y en consecuencia afectar la actividad de las cadenas de bloques relacionadas.
¿Cómo pueden los validadores determinar si un nodo ya ha sido atacado por esta vulnerabilidad?
Si un nodo se queda atascado en la fase BlockSync, que la altura objetivo deje de aumentar es una señal posible. Se puede aumentar el nivel de registro del módulo BlockSync y revisar si hay registros de pares que hayan enviado mensajes de altura anómalos, para identificar posibles nodos maliciosos y bloquearlos en la capa P2P.
¿Es estándar que el proveedor degrade la vulnerabilidad como “informativa”?
La calificación CVSS de Park (7.1, alta) se basa en el método estándar internacional de puntuación, y Park envió una PoC a nivel de red verificable para refutar la decisión de degradación. Que el proveedor la haya degradado a “el impacto puede ignorarse” es considerado por la comunidad de seguridad como una violación de estándares internacionales de evaluación de vulnerabilidades reconocidos como CVSS; esta controversia también es una de las razones centrales por las que Park decidió divulgarla finalmente de forma pública.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Hombre de California Sentenciado a 70 Meses por Lavado de Dinero en un Esquema de Robo de $263M Cripto
Mensaje de Gate News, 25 de abril — Un hombre de 22 años de Newport Beach, California, Evan Tangeman, ha sido condenado a 70 meses de prisión federal y 3 años de libertad supervisada por su papel en una red delictiva de ingeniería social que operaba en varios estados y que robó más de $263 millones en criptomonedas, según
GateNewshace1h
41 secuestros de cripto en Francia en 3,5 meses; Durov culpa a las filtraciones de datos
Mensaje de Gate News, 24 de abril — Francia ha registrado 41 secuestros de titulares de criptomonedas en apenas 3,5 meses de 2026, según Pavel Durov, fundador de Telegram, quien atribuyó el aumento a filtraciones generalizadas de datos. Durov destacó en una publicación de X que los datos personales sensibles —incluida información en poder de las autoridades fiscales y procedente de una gran filtración en la Agencia Francesa para Documentos Seguros— ha expuesto aproximadamente los nombres, direcciones y números de teléfono de 19 millones de personas, lo que hace que los titulares de activos digitales sean objetivos más fáciles.
Las autoridades francesas confirmaron que se han registrado más de 40 secuestros de criptomonedas o intentos de abducción desde enero de 2026, lo que supone un fuerte aumento frente a aproximadamente 30 casos en 2025. Según Philippe Chadrys, de la policía judicial de Francia, el modus operandi y los métodos de selección varían, y muchas operaciones están dirigidas por redes que operan desde el extranjero. Los incidentes van desde abducciones de corta duración hasta casos violentos en los que hay tortura y exigencias de rescate. En un caso reciente, una mujer y su hijo de 11 años fueron secuestrados en Borgoña y posteriormente liberados tras una operación policial de gran escala. En otro caso en Anglet, los sospechosos secuestraron por error a las personas equivocadas antes de ser arrestados. En 2025, el destacado directivo de la industria cripto David Balland fue secuestrado y le cortaron un dedo antes de que lo rescataran.
Los fiscales franceses ya han imputado a 88 personas en relación con secuestros vinculados a las criptomonedas, incluidos menores en al menos una docena de casos. Durov advirtió que ampliar el acceso del gobierno a identidades digitales y comunicaciones cifradas podría empeorar la situación si los sistemas se ven comprometidos, aunque su afirmación de que los funcionarios fiscales venden directamente los datos no ha sido verificada.
La crisis de exposición de datos se extiende más allá de los secuestros. Los grupos franceses de protección de datos informan de millones de registros comprometidos en múltiples filtraciones que afectan a servicios públicos y empresas privadas. Según Seb, presidente de la Federación Francesa para la Protección de Datos, Francia está a punto de convertirse en el segundo país más hackeado del mundo en 2026, con más de 300 servicios franceses afectados, 23 millones de cuentas comprometidas y más de 250 millones de registros de datos expuestos. France Titres ANTS por sí solo registró más de 11,7 millones de cuentas expuestas, mientras que la Agencia Estatal de Pagos y Servicios filtró datos bancarios y números de la seguridad social de millones de ciudadanos franceses.
Los secuestros vinculados a criptomonedas suelen seguir un patrón: las víctimas son identificadas como poseedoras de activos digitales, son secuestradas y presionadas para transferir fondos bajo coacción. A diferencia de las cuentas bancarias tradicionales, las carteras cripto pueden accederse instantáneamente si se revelan claves privadas o contraseñas, lo que las convierte en objetivos atractivos para la extorsión. Mientras tanto, Bitcoin subió casi 10% en los últimos 30 días, cotizando a $77,601 al momento de publicarse la nota, mientras que Ethereum cayó 5% durante la semana, cotizando a $2,315.
GateNewshace4h
El investigador italiano gana una recompensa de 1 BTC por un ataque cuántico de 32.767 bits a claves de curvas elípticas
Mensaje de Gate News, 24 de abril — Giancarlo Lelli, un investigador italiano, ha sido galardonado con un Bitcoin después de demostrar el mayor ataque a escala cuántica contra la criptografía de curvas elípticas hasta la fecha. El avance intensifica las preocupaciones sobre amenazas cuánticas a Bitcoin, Ethereum y otros activos protegidos por
GateNewshace6h
Luck.io, el Casino sin Custodia de Solana, Cierra; Se Insta a los Usuarios a Retirar Fondos de Inmediato
Mensaje de Gate News, 24 de abril — Luck.io, una plataforma de casino sin custodia construida sobre Solana, anunció su cierre el 24 de abril de 2026, instando a todos los usuarios a retirar inmediatamente sus saldos de Smart Vaults. Los retiros pueden iniciarse a través del sitio web luck.io o mediante la Vault Withdrawal Tool en
GateNewshace9h
Sanciones de EE. UU. a billeteras cripto vinculadas a Irán; Tether congela $344 millones de USDT
Mensaje de Gate News, 24 de abril — El secretario del Tesoro de EE. UU., Scott Bessent, anunció el jueves sanciones contra múltiples billeteras vinculadas a Irán, como parte de los esfuerzos del presidente Donald Trump para aumentar la presión económica sobre el país en medio de un alto el fuego en curso. "Seguiremos el dinero que Teherán está intentando desesperadamente mover fuera del país y atacaremos todas las líneas de ayuda financiera vinculadas al régimen", dijo Bessent en un comunicado.
GateNewshace11h
El Proyecto Once otorga una recompensa de 1 BTC por el Q-Day 1: los investigadores usan computadoras cuánticas para descifrar claves de curva elíptica de 15 bits
Centrada en la investigación de “Q-Day (día de la criptografía blockchain contra la que se romperían los códigos mediante computadoras cuánticas)”, la organización sin fines de lucro Project Eleven anunció el 4/24 el otorgamiento de una recompensa de 1 bitcoin a un investigador independiente, Giancarlo Lelli. En hardware de computación cuántica en la nube de acceso público y disponible, Lelli, usando una variante del algoritmo de Shor, logró descifrar una clave de curva elíptica de 15 bits; este es el mayor ejemplo de ataque cuántico público hasta la fecha.
Escala e importancia del ataque
Proyecto Contenido Ganador Giancarlo Lelli (investigador independiente) Objetivo del ataque Clave de curva elíptica de 15 bits, buscando 32,767 posibilidades Con hardware Computadora cuántica en la nube de acceso público Algoritmo Shor
ChainNewsAbmediahace12h
