Pesquisador de segurança Doyeon Park divulgou em 21 de abril um vulnerabilidade day zero de alta criticidade, nível CVSS 7.1, no CometBFT da camada de consenso do Cosmos, que pode fazer com que nós sejam atacados por pares maliciosos durante a fase de sincronização de blocos (BlockSync) e entrem em deadlock, afetando uma rede que protege mais de US$ 8 bilhões em ativos.
Princípio técnico da vulnerabilidade: deadlock infinito causado por relatório de altura altamente manipulável
A vulnerabilidade existe no mecanismo BlockSync do CometBFT. Em condições normais, os nós pares, ao se conectar, informam a altura mais recente em ordem crescente (latest). No entanto, o código atual não valida o cenário em que o par informa primeiro a altura X e depois informa uma altura menor Y — por exemplo, primeiro informa 2000 e depois informa 1001. Nesse caso, o nó A na sincronização passa a aguardar permanentemente para alcançar a altura 2000, mesmo que o nó malicioso se desconecte; a altura-alvo não é recalculada, fazendo o nó entrar em deadlock infinito e não conseguir se reconectar à rede. As versões afetadas são <= v0.38.16 e v1.0.0, e as versões corrigidas são v1.0.1 e v0.38.17.
Falha na divulgação coordenada: linha do tempo completa de como o fornecedor rebaixou a CVE
Park seguiu o processo padrão de divulgação coordenada de vulnerabilidades (CVD), mas encontrou obstáculos várias vezes no caminho: em 22 de fevereiro, Park enviou o primeiro relatório; o fornecedor exigiu que ele fosse submetido na forma de uma issue pública no GitHub, mas recusou a divulgação pública; em 4 de março, o segundo relatório foi marcado como spam pelo HackerOne; em 6 de março, o fornecedor rebaixou a severidade da vulnerabilidade de “médio/alto” para “informativo (impacto desprezível)”; Park então submeteu uma prova de conceito (PoC) em nível de rede para refutar; em 21 de abril, foi tomada a decisão final de divulgar publicamente.
Park também apontou que o fornecedor havia realizado operações semelhantes de rebaixamento para a CVE-2025-24371, uma vulnerabilidade com o mesmo impacto, o que é considerado uma violação dos padrões internacionais de avaliação de vulnerabilidades reconhecidos, como o CVSS.
Orientação de urgência: ações que validadores precisam tomar agora
Antes de a correção ser implantada oficialmente, Park recomenda que todos os validadores do Cosmos evitem ao máximo reiniciar os nós. Nós que já estão no modo de consenso podem continuar operando normalmente; porém, se forem reiniciados e entrarem no processo de sincronização BlockSync, poderão entrar em deadlock devido a ataques de pares maliciosos.
Como mitigação temporária: se for identificado que o BlockSync travou, é possível identificar os pares maliciosos que reportam alturas inválidas aumentando o nível do log, e bloquear esse nó na camada P2P. A solução mais fundamental é atualizar o quanto antes para as versões corrigidas v1.0.1 ou v0.38.17.
Perguntas frequentes
Essa vulnerabilidade do CometBFT consegue roubar ativos diretamente?
Não. Esta vulnerabilidade não consegue roubar ativos diretamente nem compromete a segurança dos fundos on-chain. Seu impacto é fazer com que o nó entre em deadlock na fase de sincronização BlockSync, impedindo o nó de participar normalmente da rede, o que pode afetar a capacidade dos validadores de propor blocos e de votar, influenciando assim a atividade da blockchain relacionada.
Como os validadores podem determinar se um nó foi atacado por esta vulnerabilidade?
Se o nó travar na fase BlockSync, a parada de incremento da altura-alvo é um sinal possível. É possível aumentar o nível de log do módulo BlockSync, verificar se há registros de pares que receberam mensagens de altura anormais, para identificar pares maliciosos em potencial, e então bloquear na camada P2P.
O fornecedor rebaixar a vulnerabilidade para “informativa” está em conformidade com os padrões?
A pontuação CVSS de Park (7.1, alta criticidade) foi baseada no método padrão internacional de pontuação, e Park enviou uma PoC verificável em nível de rede para refutar a decisão de rebaixamento. A comunidade de segurança considera que, ao rebaixá-la para “impacto desprezível”, o fornecedor violou padrões internacionais de avaliação de vulnerabilidades reconhecidos, como o CVSS; essa controvérsia também é uma das razões centrais pelas quais Park decidiu divulgar publicamente por fim.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Protocolo de privacidade Umbra desliga frontend para impedir que atacantes façam lavagem de fundos roubados do Kelp
Mensagem do Gate News, 22 de abril — O protocolo de privacidade Umbra desativou seu site de frontend para impedir que atacantes usem o protocolo para transferir fundos roubados após ataques recentes, incluindo a violação do protocolo Kelp que resultou em perdas superiores a $280 milhões. Aproximadamente US$ 800.000 em fundos roubados foram transferidos por "
GateNews18m atrás
SlowMist 23pds Aviso: O Lazarus Group publicou um novo kit de ferramentas para macOS voltado a criptomoedas
O diretor de segurança da informação da Slow Mist, 23pds, divulgou um alerta em 22 de abril, afirmando que o grupo de hackers da Coreia do Norte Lazarus Group lançou um novo kit de ferramentas de malware nativo para macOS, “Mach-O Man”, projetado especificamente para o setor de criptomoedas e executivos de empresas de alto valor.
MarketWhisper1h atrás
Justin Sun processa a World Liberty Financial por tokens WLFI congelados e direitos de governança
Mensagem do Gate News, 22 de abril — Justin Sun entrou com uma ação em um tribunal federal da Califórnia contra a World Liberty Financial (WLF), um projeto DeFi apoiado por Eric Trump e Donald Trump Jr., alegando que a equipe congelou todas as suas participações em WLFI, removeu seus direitos de voto e ameaçou queimar permanentemente suas
GateNews3h atrás
Atacante do Venus Protocol transfere 2301 ETH, entra no Tornado Cash para lavagem
De acordo com a análise on-chain da analista de IA, Ai, de 22 de abril, o atacante do Venus Protocol transferiu 2.301 ETH (cerca de 5,32 milhões de dólares) para o endereço 0xa21…23A7f, há 11 horas; em seguida, transferiu os fundos em lotes para o mixer cripto Tornado Cash para lavagem; até o momento do monitoramento, o atacante ainda mantém cerca de 17,45 milhões de dólares em ETH na cadeia.
MarketWhisper3h atrás
Lazarus Group da Coreia do Norte Lança Novo Malware para macOS Mach-O Man com Foco em Cripto
Resumo: O Lazarus Group lançou um kit de malware nativo para macOS chamado Mach-O Man, com foco em plataformas de cripto e executivos de alto valor; o SlowMist alerta os usuários para ter cautela contra ataques.
Resumo: O artigo relata que o Lazarus Group lançou o Mach-O Man, um kit de malware nativo para macOS voltado para plataformas de criptomoedas e executivos de alto valor. O SlowMist alerta os usuários a ter cautela para mitigar possíveis ataques.
GateNews4h atrás
Golfo de Omã registra golpe de pedágio com Bitcoin; após o pagamento, o navio ainda é atacado com artilharia
De acordo com a CoinDesk em 22 de abril, a empresa de serviços de risco marítimo Marisks emitiu um alerta, dizendo que golpistas estão se passando por autoridades iranianas para enviar mensagens a várias empresas de navegação, solicitando Bitcoin ou USDT como “pedágio” para passar pelo Estreito de Ormuz. A Marisks confirmou que as mensagens relevantes não vêm de canais oficiais do Irã e, conforme reportado pela Reuters, afirmou que acredita que pelo menos um navio tenha sido enganado, ao tentar passar durante o fim de semana ainda foi alvo de bombardeio.
MarketWhisper4h atrás
