Eksposur kerentanan zero-day CometBFT, 8 miliar dolar AS node jaringan Cosmos menghadapi risiko deadlock

Peneliti keamanan Doyeon Park pada 21 April mengungkapkan secara publik bahwa terdapat kerentanan zero-day tingkat berbahaya (high) dengan skor CVSS 7.1 pada lapisan konsensus Cosmos, yakni CometBFT, yang berpotensi membuat node diserang oleh rekan-rekan (peers) berbahaya pada tahap sinkronisasi blok (BlockSync) hingga masuk ke kondisi deadlock, sehingga memengaruhi jaringan yang menjamin lebih dari 8 miliar dolar AS aset.

Prinsip teknis kerentanan: laporan ketinggian yang sangat tinggi yang menipu menyebabkan deadlock tanpa batas

Kerentanan ini terdapat pada mekanisme BlockSync di CometBFT. Dalam kondisi normal, saat terhubung, peer akan melaporkan ketinggian blok terbaru yang terus meningkat (latest). Namun, kode yang ada tidak memverifikasi skenario ketika peer terlebih dahulu melaporkan ketinggian X lalu melaporkan ketinggian yang lebih rendah Y—misalnya melaporkan 2000 terlebih dahulu, lalu melaporkan 1001. Pada situasi ini, node dalam sinkronisasi, yang disebut node A, akan menunggu selamanya untuk mengejar ketinggian 2000, bahkan jika peer berbahaya memutus koneksi, karena target height tidak dihitung ulang, sehingga node masuk ke deadlock tanpa batas, tidak dapat bergabung kembali ke jaringan. Versi yang terdampak adalah <= v0.38.16 dan v1.0.0, sedangkan versi yang sudah diperbaiki adalah v1.0.1 dan v0.38.17.

Kegagalan koordinasi pengungkapan: garis waktu lengkap ketika vendor menurunkan peringkat CVE

Park mengikuti proses standar koordinasi pengungkapan kerentanan (CVD), tetapi berkali-kali menghadapi hambatan dalam prosesnya: pada 22 Februari Park mengajukan laporan pertama, vendor meminta agar laporan diserahkan dalam bentuk公开 GitHub issue tetapi menolak pengungkapan publik; pada 4 Maret laporan kedua diberi label sebagai spam oleh HackerOne; pada 6 Maret vendor secara mandiri menurunkan tingkat keparahan kerentanan dari “sedang/tinggi” menjadi “informatif (dampak dapat diabaikan)”, lalu Park mengajukan proof of concept (PoC) tingkat jaringan untuk membantahnya; pada 21 April akhirnya diputuskan untuk mengungkapkannya secara publik.

Park juga menyebutkan bahwa vendor sebelumnya telah melakukan operasi penurunan peringkat yang serupa terhadap CVE-2025-24371, sebuah kerentanan dengan dampak yang sama, dan tindakan tersebut dinilai melanggar standar penilaian kerentanan internasional yang diakui seperti CVSS.

Panduan darurat: tindakan yang perlu dilakukan verifikator sekarang

Sebelum patch resmi dideploy, Park menyarankan agar semua verifikator Cosmos sedapat mungkin menghindari melakukan restart node. Node yang sudah berada dalam mode konsensus dapat terus beroperasi secara normal; namun jika restart dilakukan dan masuk ke proses sinkronisasi BlockSync, node berpotensi terkena deadlock akibat serangan dari peer berbahaya.

Sebagai mitigasi sementara: jika ditemukan BlockSync yang macet, dapat mengidentifikasi peer yang melaporkan ketinggian yang tidak valid melalui peningkatan level log, lalu memblokir node tersebut di lapisan P2P. Solusi paling mendasar adalah melakukan upgrade secepat mungkin ke versi yang sudah diperbaiki, yakni v1.0.1 atau v0.38.17.

Pertanyaan yang sering diajukan

Apakah kerentanan ini di CometBFT bisa langsung mencuri aset?

Tidak. Kerentanan ini tidak dapat langsung mencuri aset atau membahayakan keamanan dana di rantai. Dampaknya adalah menyebabkan node deadlock pada tahap sinkronisasi BlockSync, sehingga node tidak dapat berpartisipasi dengan normal dalam jaringan, yang dapat memengaruhi kemampuan verifikator untuk membuat blok dan melakukan pemungutan suara, sehingga berdampak pada aktivitas blockchain terkait.

Bagaimana verifikator dapat menilai apakah sebuah node telah diserang oleh kerentanan ini?

Jika sebuah node macet pada tahap BlockSync, berhentinya penambahan ketinggian target merupakan indikasi yang mungkin. Dapat meningkatkan level log modul BlockSync, lalu memeriksa apakah ada catatan peer yang menerima pesan ketinggian yang tidak normal, untuk mengidentifikasi peer berbahaya yang potensial, dan memblokirnya di lapisan P2P.

Apakah vendor menurunkan peringkat kerentanan menjadi “informatif” sesuai standar?

Skor CVSS Park (7.1, high/berbahaya) didasarkan pada metode penilaian standar internasional, dan Park mengirimkan PoC tingkat jaringan yang dapat diverifikasi untuk membantah keputusan penurunan peringkat tersebut. Vendor menurunkannya menjadi “dampak dapat diabaikan” yang dinilai oleh komunitas keamanan melanggar standar penilaian kerentanan internasional yang diakui seperti CVSS; kontroversi ini juga menjadi salah satu alasan utama bagi Park untuk akhirnya memutuskan mengungkapkannya secara publik.