Pesquisador de segurança Doyeon Park divulgou em 21 de abril um vulnerabilidade day zero de alta criticidade, nível CVSS 7.1, no CometBFT da camada de consenso do Cosmos, que pode fazer com que nós sejam atacados por pares maliciosos durante a fase de sincronização de blocos (BlockSync) e entrem em deadlock, afetando uma rede que protege mais de US$ 8 bilhões em ativos.
Princípio técnico da vulnerabilidade: deadlock infinito causado por relatório de altura altamente manipulável
A vulnerabilidade existe no mecanismo BlockSync do CometBFT. Em condições normais, os nós pares, ao se conectar, informam a altura mais recente em ordem crescente (latest). No entanto, o código atual não valida o cenário em que o par informa primeiro a altura X e depois informa uma altura menor Y — por exemplo, primeiro informa 2000 e depois informa 1001. Nesse caso, o nó A na sincronização passa a aguardar permanentemente para alcançar a altura 2000, mesmo que o nó malicioso se desconecte; a altura-alvo não é recalculada, fazendo o nó entrar em deadlock infinito e não conseguir se reconectar à rede. As versões afetadas são <= v0.38.16 e v1.0.0, e as versões corrigidas são v1.0.1 e v0.38.17.
Falha na divulgação coordenada: linha do tempo completa de como o fornecedor rebaixou a CVE
Park seguiu o processo padrão de divulgação coordenada de vulnerabilidades (CVD), mas encontrou obstáculos várias vezes no caminho: em 22 de fevereiro, Park enviou o primeiro relatório; o fornecedor exigiu que ele fosse submetido na forma de uma issue pública no GitHub, mas recusou a divulgação pública; em 4 de março, o segundo relatório foi marcado como spam pelo HackerOne; em 6 de março, o fornecedor rebaixou a severidade da vulnerabilidade de “médio/alto” para “informativo (impacto desprezível)”; Park então submeteu uma prova de conceito (PoC) em nível de rede para refutar; em 21 de abril, foi tomada a decisão final de divulgar publicamente.
Park também apontou que o fornecedor havia realizado operações semelhantes de rebaixamento para a CVE-2025-24371, uma vulnerabilidade com o mesmo impacto, o que é considerado uma violação dos padrões internacionais de avaliação de vulnerabilidades reconhecidos, como o CVSS.
Orientação de urgência: ações que validadores precisam tomar agora
Antes de a correção ser implantada oficialmente, Park recomenda que todos os validadores do Cosmos evitem ao máximo reiniciar os nós. Nós que já estão no modo de consenso podem continuar operando normalmente; porém, se forem reiniciados e entrarem no processo de sincronização BlockSync, poderão entrar em deadlock devido a ataques de pares maliciosos.
Como mitigação temporária: se for identificado que o BlockSync travou, é possível identificar os pares maliciosos que reportam alturas inválidas aumentando o nível do log, e bloquear esse nó na camada P2P. A solução mais fundamental é atualizar o quanto antes para as versões corrigidas v1.0.1 ou v0.38.17.
Perguntas frequentes
Essa vulnerabilidade do CometBFT consegue roubar ativos diretamente?
Não. Esta vulnerabilidade não consegue roubar ativos diretamente nem compromete a segurança dos fundos on-chain. Seu impacto é fazer com que o nó entre em deadlock na fase de sincronização BlockSync, impedindo o nó de participar normalmente da rede, o que pode afetar a capacidade dos validadores de propor blocos e de votar, influenciando assim a atividade da blockchain relacionada.
Como os validadores podem determinar se um nó foi atacado por esta vulnerabilidade?
Se o nó travar na fase BlockSync, a parada de incremento da altura-alvo é um sinal possível. É possível aumentar o nível de log do módulo BlockSync, verificar se há registros de pares que receberam mensagens de altura anormais, para identificar pares maliciosos em potencial, e então bloquear na camada P2P.
O fornecedor rebaixar a vulnerabilidade para “informativa” está em conformidade com os padrões?
A pontuação CVSS de Park (7.1, alta criticidade) foi baseada no método padrão internacional de pontuação, e Park enviou uma PoC verificável em nível de rede para refutar a decisão de rebaixamento. A comunidade de segurança considera que, ao rebaixá-la para “impacto desprezível”, o fornecedor violou padrões internacionais de avaliação de vulnerabilidades reconhecidos, como o CVSS; essa controvérsia também é uma das razões centrais pelas quais Park decidiu divulgar publicamente por fim.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Hackeamentos Cripto Impulsionam Debate sobre Tokenização na Wall Street
Explorações cripto de alto perfil testam o risco do DeFi, embora seja improvável que desfaçam a tokenização; instituições preferem cadeias permissionadas, enquanto a tokenização mais ampla deve interoperar com o DeFi; stablecoins enfrentam escrutínio e possível reação regulatória.
CryptoFrontier4h atrás
Volo Protocol perde US$ 3,5M em hack na Sui, se compromete a absorver prejuízos e a congelar fundos do hacker
Mensagem de notícias da Gate, 22 de abril — A Volo Protocol, operadora de um cofre de rendimentos na Sui, anunciou ontem (21 de abril) que começou a congelar ativos roubados após um exploit de US$ 3,5 milhões. Hackers saquearam WBTC, XAUm e USDG das Volo Vaults, marcando a mais recente grande violação de segurança em DeFi em um
GateNews7h atrás
Família Francesa Forçada a Transferir $820K em Cripto Após Invasão Arm ada em Casa
Mensagem da Gate News, 22 de abril — Uma família em Ploudalmézeau, uma pequena cidade na Bretanha, França, foi invadida por dois homens armados com máscaras na segunda-feira (20 de abril), de acordo com a apuração do The Block. Três adultos foram amarrados por mais de três horas e forçados a transferir aproximadamente 700.000 euros (cerca de US$ 820.000) i
GateNews8h atrás
DOJ Lança Processo de Compensação para Vítimas da Fraude OneCoin, US$ 40M+ em Ativos Recuperados Disponíveis
Mensagem do Gate News, 22 de abril — O Departamento de Justiça dos EUA anunciou o lançamento de um processo de compensação para vítimas do esquema de fraude com a criptomoeda OneCoin, com mais de $40 milhões em ativos recuperados agora disponíveis para distribuição.
O esquema, operado entre 2014 e 2019 por Ruja
GateNews9h atrás
Criadores da AI16Z e da ELIZAOS Processados por Alegações de Fraude de US$ 2,6 bi; Queda de Tokens de 99,9% a Partir do Pico
Uma ação civil pública federal acusa a AI16Z/ELIZAOS de uma fraude cripto de US$ 2,6 bilhões por meio de alegações falsas de IA e marketing enganoso, alegando favoritismo por parte de insiders e um sistema autônomo encenado; busca indenizações sob leis de proteção ao consumidor.
Resumo: Este relatório aborda uma ação civil pública federal em uma corte distrital federal de Nova York (SDNY) protocolada em 21 de abril, acusando a AI16Z e seu rebranding, ELIZAOS, de uma fraude cripto de US$ 2,6 bilhões envolvendo alegações falsas de IA e marketing enganoso. A ação alega uma associação fabricada com Andreessen Horowitz e um sistema não autônomo. O caso detalha uma valorização de pico no início de 2025, uma queda de 99,9% e cerca de 4.000 carteiras perdedoras, com insiders recebendo cerca de 40% dos novos tokens. Os autores buscam indenizações e medidas de equidade sob as leis de proteção ao consumidor de Nova York e da Califórnia. Reguladores na Coreia e grandes exchanges já alertaram ou suspenderam negociações relacionadas.
GateNews11h atrás
Alertas da SlowMist: Malware Ativo para macOS do MacSync Stealer Mirando Usuários de Cripto
SlowMist alerta sobre o MacSync Stealer (v1.1.2) para macOS, um ladrão de informações que rouba carteiras, credenciais, keychains e chaves de infraestrutura, usando prompts de AppleScript falsificados e erros falsos de "não suportado"; exorta cautela e conscientização dos IOCs.
Resumo: Este relatório resume o alerta da SlowMist sobre o MacSync Stealer (v1.1.2), um ladrão de informações para macOS que mira carteiras de criptomoeda, credenciais do navegador, keychains do sistema e chaves de infraestrutura (SSH, AWS, Kubernetes). Ele engana os usuários com diálogos falsificados de AppleScript que solicitam senhas e mensagens falsas visíveis de "não suportado". A SlowMist fornece IOCs aos clientes e aconselha evitar scripts de macOS não verificados e manter-se vigilante quanto a prompts incomuns de senha.
GateNews12h atrás
