Дослідник повідомляє про критичну вразливість нульового дня з рейтингом CVSS 7.1 у шарі консенсусу Cosmos CometBFT

Повідомлення Gate News, 22 квітня — Дослідник з безпеки Дойон Парк розкрив критичну вразливість нульового дня з рейтингом CVSS 7.1 у шарі консенсусу CometBFT у Cosmos, яка може спричинити зависання вузлів під час синхронізації блоків, потенційно впливаючи на мережі, що забезпечують понад $8 мільярдів доларів США активів. Вразливість не може напряму викрасти кошти.

Парк розпочав процес скоординованого розкриття 22 лютого, але зіткнувся зі спротивом з боку вендора, який попросив подавати публічний GitHub issue, водночас відмовляючись від публічного розкриття. 4 березня HackerOne позначив його другий звіт як спам. 6 березня вендор довільно знизив рівень пов’язаної вразливості (CVE-2025-24371) до рівня "informational", відкинувши міжнародні стандарти. Парк подав мережевий proof-of-concept, щоб заперечити це рішення, перш ніж публічно розкрити ваду 21 квітня.

Парк рекомендує валідаторам Cosmos уникати перезапуску вузлів до випуску патча. Вузли, які вже працюють у режимі консенсусу, можуть продовжувати роботу, але перезапуск і перехід до синхронізації можуть піддати їх атакам з боку зловмисних партнерів, потенційно спричиняючи дедлок.