Дослідник безпеки Доєйон Парк (Doyeon Park) 21 квітня оприлюднив, що в шарі консенсусу Cosmos CometBFT існує критичний нульовий day-вразливість рівня CVSS 7.1 високого ризику. Вона може дозволити зловмисним одноранговим вузлам атакувати вузли на етапі синхронізації блоків (BlockSync) і спричиняти взаємне блокування (deadlock), впливаючи на мережу, яка забезпечує понад 8 млрд доларів США активів.
Технічний принцип вразливості: маніпулювання повідомленнями з боку зловмисного вузла призводить до нескінченного deadlock
Вразливість міститься в механізмі BlockSync CometBFT. У нормальних умовах під час підключення однорангові вузли повідомляють про зростаючу найновішу висоту блоку (latest). Однак наявний код не перевіряє ситуацію, коли одноранговий вузол спочатку повідомляє висоту X, а потім повідомляє нижчу висоту Y — наприклад, спочатку 2000, а потім 1001. У такому разі вузол A у синхронізації назавжди чекатиме, щоб наздогнати висоту 2000, навіть якщо зловмисний вузол від’єднано, і цільова висота не буде перерахована повторно, через що вузол потрапляє в нескінченне deadlock і не може знову приєднатися до мережі. Уражені версії: <= v0.38.16 і v1.0.0; виправлені версії: v1.0.1 і v0.38.17.
Зрив узгодженого розкриття: повна хронологія зниження CVE з боку постачальника
Парк дотримувався стандартного процесу узгодженого розкриття вразливостей (CVD), але під час нього кілька разів виникали перешкоди: 22 лютого він подав перший звіт, і постачальник вимагав подавати його у формі публічного GitHub issue, але відмовився публічно розкривати інформацію; 4 березня другий звіт був позначений у HackerOne як спам; 6 березня постачальник самостійно знизив серйозність вразливості з «середньої/високої» до «інформаційної (вплив можна ігнорувати)», а Парк подав мережевий концептуальний proof-of-concept (PoC), щоб спростувати це; 21 квітня було ухвалено остаточне рішення про публічне розкриття.
Парк також зазначив, що постачальник раніше виконував подібні операції зниження для CVE-2025-24371 — вразливості з таким самим впливом — що, на його думку, порушує загальновизнані міжнародні стандарти оцінювання вразливостей, зокрема CVSS.
Екстрені інструкції: які дії мають вжити валідатори зараз
Перед офіційним розгортанням патча Парк рекомендує всім валідаторам Cosmos по можливості уникати перезапуску вузлів. Вузли, які вже працюють у режимі консенсусу, можуть продовжувати нормальну роботу; однак якщо їх перезапустити та вони увійдуть у процес синхронізації BlockSync, вони можуть потрапити в deadlock через атаку з боку зловмисних однорангових вузлів.
Як тимчасове пом’якшення: якщо BlockSync зависає, можна через підвищення рівня журналювання виявити повідомлення, що вказують на недійсні висоти зловмисних однорангових вузлів, а також заблокувати цей вузол на рівні P2P. Найрадикальніше рішення — якомога швидше оновитися до вже виправлених версій v1.0.1 або v0.38.17.
Поширені запитання
Чи можна цю вразливість CometBFT напряму використати для крадіжки активів?
Ні. Ця вразливість не дає змоги напряму викрасти активи або поставити під загрозу безпеку коштів у ланцюжку. Її вплив полягає в тому, що вузол потрапляє в deadlock на етапі синхронізації BlockSync, через що вузол не може коректно брати участь у мережі. Це може вплинути на здатність валідаторів робити блоки та виконувати голосування, а отже — на активність відповідних блокчейнів.
Як валідатори можуть визначити, чи вузол зазнав атаки через цю вразливість?
Якщо вузол зависає на етапі BlockSync, зупинка збільшення цільової висоти є потенційною ознакою. Можна підвищити рівень журналювання модуля BlockSync, перевірити, чи є записи про однорангові вузли, які надсилають повідомлення з аномальними висотами, щоб ідентифікувати потенційні зловмисні вузли, а потім заблокувати їх на рівні P2P.
Чи відповідає стандартам те, що постачальник знизив рівень вразливості до «інформаційної»?
Оцінка CVSS Парк (7.1, високий ризик) ґрунтується на стандартній міжнародній методиці оцінювання, і Парк подав перевірюваний мережевий PoC, щоб спростувати рішення про зниження. Те, що постачальник знизив її до «вплив можна ігнорувати», безпекова спільнота вважає таким, що суперечить загальновизнаним міжнародним стандартам оцінювання вразливостей, зокрема CVSS. Ця суперечка є однією з ключових причин, чому Парк у підсумку вирішив публічно розкрити інформацію.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Протокол приватності Umbra вимикає фронтенд, щоб заблокувати атакувальників від відмивання викрадених коштів Kelp
Повідомлення Gate News, 22 квітня — Протокол приватності Umbra вимкнув свій фронтенд-сайт, щоб не допустити атакувальників до використання протоколу для переказу вкрадених коштів після недавніх атак, зокрема інциденту з протоколом Kelp, який призвів до втрат понад $280 мільйонів. Близько $800,000 у викрадених коштах були переказані через Umbra,
GateNews18хв. тому
Slow Mist 23pds Попередження: Lazarus Group опублікувала новий набір інструментів для macOS, орієнтований на криптовалюти
Лукінь, головний директор з інформаційної безпеки Slow Mist 23pds, 22 квітня опублікував попередження, в якому заявив, що хакерська група Північної Кореї Lazarus Group випустила новий нативний шкідливий набір інструментів для macOS «Mach-O Man», спеціально націлений на криптовалютну індустрію та керівників високої цінності.
MarketWhisper1год тому
Джастін Сан подає позов до World Liberty Financial через заморожені токени WLFI та права на управління
Повідомлення Gate News, 22 квітня — Джастін Сан подав позов у федеральний суд Каліфорнії проти World Liberty Financial (WLF), DeFi-проєкту за підтримки Еріка Трампа та Дональда Трампа-молодшого, стверджуючи, що команда заморозила всі його холдинги WLFI, позбавила його права голосу та погрожувала назавжди спалити
GateNews3год тому
Зловмисник протоколу Venus переказав 2301 ETH, що надійшли до Tornado Cash для відмивання
Згідно з ончайн-спостереженнями аналітика Ai 阿姨 станом на 22 квітня, атакувальник Venus Protocol понад 11 годин тому перевів на адресу 0xa21…23A7f 2,301 ETH (приблизно 5.32 млн доларів США), після чого частинами переказав кошти в криптовалютний міксер Tornado Cash для очищення; станом на час спостереження атакувальник на блокчейні все ще має приблизно 17.45 млн доларів США в ETH.
MarketWhisper3год тому
Півнокорейська група Lazarus випускає новий шкідливий софт Mach-O Man для macOS, спрямований на крипто
Зведення: Група Lazarus випустила нативний шкідливий інструментарій для macOS під назвою Mach-O Man, спрямований на криптоплатформи та високопоставлених керівників; SlowMist закликає користувачів проявляти обережність проти атак.
Анотація: У статті повідомляється, що група Lazarus представила Mach-O Man — нативний шкідливий інструментарій для macOS, спрямований на криптовалютні платформи та високопоставлених керівників. SlowMist попереджає користувачів виявляти обережність, щоб зменшити ризик потенційних атак.
GateNews4год тому
У Перській затоці Хормуз з’явилося шахрайство зі збором за проїзд у біткоїнах: після того як судно заплатило, по ньому все одно відкрили вогонь
Згідно з повідомленням CoinDesk від 22 квітня, грецька компанія з морських ризиків Marisks опублікувала попередження про те, що шахраї видають себе за іранські органи влади та надсилають повідомлення кільком судноплавним компаніям із вимогою біткоїнів або USDT як «плату за проїзд» для проходження через «протоку Гормуз». Marisks підтвердила, що відповідні повідомлення не надходять із офіційних іранських каналів, і, як повідомляє Reuters, заявила, що вважає: щонайменше одне судно стало жертвою обману — і, намагаючись пройти протягом вихідних, все одно зазнало обстрілів.
MarketWhisper4год тому
