Nhà nghiên cứu an ninh Doyeon Park đã công bố vào ngày 21 tháng 4 rằng trong lớp đồng thuận của Cosmos, CometBFT tồn tại một lỗ hổng zero-day mức độ nghiêm trọng cao theo CVSS là 7.1, có thể khiến các nút bị tấn công bởi các đối tác độc hại trong giai đoạn đồng bộ khối (BlockSync) và rơi vào tình trạng bế tắc (deadlock), ảnh hưởng đến một mạng lưới bảo vệ hơn 8 tỷ USD tài sản.
Nguyên lý kỹ thuật của lỗ hổng: nút độc hại báo cáo độ cao sai lệch nghiêm trọng gây bế tắc vô hạn
Lỗ hổng nằm trong cơ chế BlockSync của CometBFT. Trong điều kiện bình thường, khi các nút ngang hàng kết nối sẽ báo cáo độ cao khối mới nhất tăng dần (latest). Tuy nhiên, mã hiện có không xác thực trường hợp một nút ngang hàng báo độ cao X trước rồi sau đó báo độ cao thấp hơn Y—ví dụ: báo trước 2000 rồi báo tiếp 1001. Lúc này, nút A trong quá trình đồng bộ sẽ chờ vĩnh viễn để bắt kịp độ cao 2000, ngay cả khi nút độc hại bị ngắt kết nối; do đó, độ cao mục tiêu không được tính lại, dẫn đến nút rơi vào bế tắc vô hạn, không thể tham gia lại mạng. Các phiên bản bị ảnh hưởng là <= v0.38.16 và v1.0.0; các phiên bản đã được vá là v1.0.1 và v0.38.17.
Sự cố trong phối hợp công bố: dòng thời gian đầy đủ về việc nhà cung cấp hạ cấp CVE
Park đã tuân theo quy trình tiêu chuẩn phối hợp công bố lỗ hổng (CVD), nhưng trong quá trình đã nhiều lần gặp trở ngại: ngày 22 tháng 2 nộp báo cáo đầu tiên, nhà cung cấp yêu cầu nộp dưới dạng một GitHub issue công khai nhưng từ chối công bố rộng rãi; ngày 4 tháng 3 nộp báo cáo thứ hai bị HackerOne đánh dấu là thư rác; ngày 6 tháng 3 nhà cung cấp tự hạ mức độ nghiêm trọng của lỗ hổng từ “trung bình/cao” xuống “mang tính thông tin (tác động có thể bỏ qua)”, Park nộp một bằng chứng khái niệm (PoC) cấp mạng để phản biện; ngày 21 tháng 4 cuối cùng quyết định công bố rộng rãi.
Park cũng chỉ ra rằng trước đó nhà cung cấp đã thực hiện một thao tác hạ cấp tương tự đối với CVE-2025-24371, một lỗ hổng có cùng ảnh hưởng, và điều này bị cho là vi phạm các tiêu chuẩn đánh giá lỗ hổng quốc tế được công nhận như CVSS.
Hướng dẫn khẩn cấp: các hành động mà người xác thực cần thực hiện ngay bây giờ
Trước khi bản vá được triển khai chính thức, Park khuyến nghị tất cả các người xác thực Cosmos nếu có thể thì tránh khởi động lại nút. Các nút đang ở chế độ đồng thuận có thể tiếp tục vận hành bình thường; tuy nhiên nếu khởi động lại và đi vào quá trình đồng bộ BlockSync, có thể bị tấn công bởi các nút độc hại và rơi vào bế tắc.
Là biện pháp giảm thiểu tạm thời: nếu phát hiện BlockSync bị kẹt, có thể xác định các đối tác ngang hàng độc hại báo cáo độ cao không hợp lệ bằng cách tăng mức độ ghi log, và chặn nút đó ở lớp P2P. Giải pháp căn bản nhất là nhanh chóng nâng cấp lên phiên bản đã được vá v1.0.1 hoặc v0.38.17.
Câu hỏi thường gặp
Lỗ hổng này của CometBFT có thể trực tiếp đánh cắp tài sản không?
Không. Lỗ hổng này không thể trực tiếp đánh cắp tài sản hoặc gây nguy hiểm cho sự an toàn của tiền trên chuỗi. Tác động của nó là khiến các nút rơi vào bế tắc trong giai đoạn đồng bộ BlockSync, khiến các nút không thể tham gia mạng một cách bình thường; điều này có thể ảnh hưởng đến khả năng tạo khối và bỏ phiếu của người xác thực, từ đó ảnh hưởng đến tính hoạt động của chuỗi khối liên quan.
Người xác thực xác định nút có bị tấn công bởi lỗ hổng này hay chưa như thế nào?
Nếu nút bị kẹt trong giai đoạn BlockSync thì việc độ cao mục tiêu ngừng tăng là một dấu hiệu khả dĩ. Có thể tăng mức độ ghi log của mô-đun BlockSync để xem liệu có các bản ghi về các đối tác ngang hàng đã nhận được các thông điệp độ cao bất thường hay không, từ đó nhận diện các nút độc hại tiềm ẩn và chặn chúng ở lớp P2P.
Việc nhà cung cấp hạ cấp lỗ hổng thành “mang tính thông tin” có đúng tiêu chuẩn không?
Đánh giá CVSS của Park (7.1, mức độ cao) dựa trên phương pháp chấm điểm quốc tế tiêu chuẩn, và Park đã nộp một PoC cấp mạng có thể xác minh được để phản biện quyết định hạ cấp. Việc nhà cung cấp hạ nó xuống “tác động có thể bỏ qua” bị cộng đồng an ninh cho là vi phạm các tiêu chuẩn đánh giá lỗ hổng quốc tế được công nhận như CVSS; tranh cãi này cũng là một trong những lý do cốt lõi khiến Park cuối cùng quyết định công bố rộng rãi.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Giao thức Quyền Riêng Tư Umbra Tắt Frontend để Ngăn Kẻ Tấn Công Rửa Tiền Kelp Bị Đánh Cắp
Tin tức từ Gate, ngày 22 tháng 4 — Giao thức quyền riêng tư Umbra đã tắt trang web frontend của mình để ngăn kẻ tấn công sử dụng giao thức này nhằm chuyển các khoản tiền bị đánh cắp sau các cuộc tấn công gần đây, bao gồm vụ vi phạm giao thức Kelp dẫn đến thiệt hại vượt quá $280 triệu. Khoảng $800,000 trong số tiền bị đánh cắp đã được chuyển thông qua
GateNews18phút trước
Mist 23pds Cảnh báo: Lazarus Group phát hành bộ công cụ macOS mới nhắm vào tiền mã hóa
Giám đốc an ninh thông tin cấp cao của Mù sương 23pds vào ngày 22 tháng 4 đã phát hành cảnh báo, cho biết nhóm tin tặc Bắc Triều Tiên Lazarus Group đã phát hành bộ công cụ phần mềm độc hại macOS nguyên sinh hoàn toàn mới mang tên “Mach-O Man”, được nhắm riêng vào ngành công nghiệp tiền điện tử và các giám đốc điều hành của doanh nghiệp giá trị cao.
MarketWhisper1giờ trước
Justin Sun Kiện World Liberty Financial vì Các Token WLFI Bị Đóng Băng và Quyền Quản Trị
Tin từ Gate News, ngày 22 tháng 4 — Justin Sun đã nộp đơn kiện tại tòa án liên bang ở California chống lại World Liberty Financial (WLF), một dự án DeFi được hậu thuẫn bởi Eric Trump và Donald Trump Jr., cáo buộc rằng đội ngũ đã đóng băng toàn bộ phần nắm giữ WLFI của ông, tước quyền bỏ phiếu của ông, và đe dọa sẽ vĩnh viễn đốt cháy các
GateNews3giờ trước
Kẻ tấn công của Venus Protocol đã chuyển 2301 ETH, nạp vào Tornado Cash để rửa tiền
Theo phân tích on-chain của nhà phân tích Ai A姨 vào ngày 22 tháng 4, kẻ tấn công của Venus Protocol đã chuyển 2.301 ETH (khoảng 5,32 triệu USD) vào địa chỉ 0xa21…23A7f cách đây 11 giờ, sau đó chuyển tiền theo từng đợt vào bộ trộn tiền mã hóa Tornado Cash để làm sạch; tính đến thời điểm theo dõi, kẻ tấn công vẫn đang nắm giữ khoảng 17,45 triệu USD ETH trên chuỗi.
MarketWhisper3giờ trước
Nhóm Lazarus của Triều Tiên phát hành phần mềm độc hại macOS Mach-O Man mới nhắm vào lĩnh vực crypto
Tóm tắt: Nhóm Lazarus đã phát hành một bộ công cụ phần mềm độc hại macOS gốc có tên Mach-O Man, nhắm tới các nền tảng crypto và các giám đốc điều hành có giá trị cao; SlowMist khuyến cáo người dùng thận trọng trước các cuộc tấn công.
Trừu tượng: Bài viết cho biết Nhóm Lazarus đã công bố Mach-O Man, một bộ công cụ phần mềm độc hại macOS gốc nhắm tới các nền tảng tiền mã hóa và các giám đốc điều hành có giá trị cao. SlowMist khuyến cáo người dùng hãy thận trọng để giảm thiểu các cuộc tấn công tiềm ẩn.
GateNews4giờ trước
Eo biển Hormuz xuất hiện lừa đảo phí thông hành Bitcoin, tàu đã thanh toán nhưng vẫn bị pháo kích
Theo CoinDesk đưa tin vào ngày 22 tháng 4, công ty dịch vụ rủi ro hàng hải của Hy Lạp Marisks đã phát cảnh báo rằng kẻ lừa đảo giả mạo các cơ quan của Iran để gửi tin nhắn đến nhiều công ty vận tải biển, nhằm yêu cầu Bitcoin hoặc USDT như một khoản “phí qua lại” để thông quan eo biển Hormuz. Marisks xác nhận các tin nhắn liên quan không đến từ các kênh chính thức của Iran và, theo Reuters, cho biết họ tin rằng ít nhất có một tàu đã bị lừa gạt, và vào cuối tuần khi cố gắng đi qua vẫn bị bắn phá.
MarketWhisper4giờ trước
