Дослідник безпеки Доєйон Парк (Doyeon Park) 21 квітня оприлюднив, що в шарі консенсусу Cosmos CometBFT існує критичний нульовий day-вразливість рівня CVSS 7.1 високого ризику. Вона може дозволити зловмисним одноранговим вузлам атакувати вузли на етапі синхронізації блоків (BlockSync) і спричиняти взаємне блокування (deadlock), впливаючи на мережу, яка забезпечує понад 8 млрд доларів США активів.
Технічний принцип вразливості: маніпулювання повідомленнями з боку зловмисного вузла призводить до нескінченного deadlock
Вразливість міститься в механізмі BlockSync CometBFT. У нормальних умовах під час підключення однорангові вузли повідомляють про зростаючу найновішу висоту блоку (latest). Однак наявний код не перевіряє ситуацію, коли одноранговий вузол спочатку повідомляє висоту X, а потім повідомляє нижчу висоту Y — наприклад, спочатку 2000, а потім 1001. У такому разі вузол A у синхронізації назавжди чекатиме, щоб наздогнати висоту 2000, навіть якщо зловмисний вузол від’єднано, і цільова висота не буде перерахована повторно, через що вузол потрапляє в нескінченне deadlock і не може знову приєднатися до мережі. Уражені версії: <= v0.38.16 і v1.0.0; виправлені версії: v1.0.1 і v0.38.17.
Зрив узгодженого розкриття: повна хронологія зниження CVE з боку постачальника
Парк дотримувався стандартного процесу узгодженого розкриття вразливостей (CVD), але під час нього кілька разів виникали перешкоди: 22 лютого він подав перший звіт, і постачальник вимагав подавати його у формі публічного GitHub issue, але відмовився публічно розкривати інформацію; 4 березня другий звіт був позначений у HackerOne як спам; 6 березня постачальник самостійно знизив серйозність вразливості з «середньої/високої» до «інформаційної (вплив можна ігнорувати)», а Парк подав мережевий концептуальний proof-of-concept (PoC), щоб спростувати це; 21 квітня було ухвалено остаточне рішення про публічне розкриття.
Парк також зазначив, що постачальник раніше виконував подібні операції зниження для CVE-2025-24371 — вразливості з таким самим впливом — що, на його думку, порушує загальновизнані міжнародні стандарти оцінювання вразливостей, зокрема CVSS.
Екстрені інструкції: які дії мають вжити валідатори зараз
Перед офіційним розгортанням патча Парк рекомендує всім валідаторам Cosmos по можливості уникати перезапуску вузлів. Вузли, які вже працюють у режимі консенсусу, можуть продовжувати нормальну роботу; однак якщо їх перезапустити та вони увійдуть у процес синхронізації BlockSync, вони можуть потрапити в deadlock через атаку з боку зловмисних однорангових вузлів.
Як тимчасове пом’якшення: якщо BlockSync зависає, можна через підвищення рівня журналювання виявити повідомлення, що вказують на недійсні висоти зловмисних однорангових вузлів, а також заблокувати цей вузол на рівні P2P. Найрадикальніше рішення — якомога швидше оновитися до вже виправлених версій v1.0.1 або v0.38.17.
Поширені запитання
Чи можна цю вразливість CometBFT напряму використати для крадіжки активів?
Ні. Ця вразливість не дає змоги напряму викрасти активи або поставити під загрозу безпеку коштів у ланцюжку. Її вплив полягає в тому, що вузол потрапляє в deadlock на етапі синхронізації BlockSync, через що вузол не може коректно брати участь у мережі. Це може вплинути на здатність валідаторів робити блоки та виконувати голосування, а отже — на активність відповідних блокчейнів.
Як валідатори можуть визначити, чи вузол зазнав атаки через цю вразливість?
Якщо вузол зависає на етапі BlockSync, зупинка збільшення цільової висоти є потенційною ознакою. Можна підвищити рівень журналювання модуля BlockSync, перевірити, чи є записи про однорангові вузли, які надсилають повідомлення з аномальними висотами, щоб ідентифікувати потенційні зловмисні вузли, а потім заблокувати їх на рівні P2P.
Чи відповідає стандартам те, що постачальник знизив рівень вразливості до «інформаційної»?
Оцінка CVSS Парк (7.1, високий ризик) ґрунтується на стандартній міжнародній методиці оцінювання, і Парк подав перевірюваний мережевий PoC, щоб спростувати рішення про зниження. Те, що постачальник знизив її до «вплив можна ігнорувати», безпекова спільнота вважає таким, що суперечить загальновизнаним міжнародним стандартам оцінювання вразливостей, зокрема CVSS. Ця суперечка є однією з ключових причин, чому Парк у підсумку вирішив публічно розкрити інформацію.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Крипто-взломи підживлюють дебати щодо токенізації на Волл-стріт
Високопрофільні атаки в криптосфері перевіряють ризики DeFi, хоча й малоймовірно, що вони зірвуть токенізацію; інституції надають перевагу дозволеним (permissioned) мережам, тоді як ширша токенізація має взаємодіяти з DeFi; до стейблкоїнів придивляються уважніше, і можливі регуляторні наслідки у вигляді негативної реакції.
CryptoFrontier1год тому
Volo Protocol Втрачає $3,5 млн у Sui-хаці, Береться Поглинати Збитки та Заморожує Кошти Хакерів
Повідомлення Gate News, 22 квітня — Volo Protocol, оператор дохідного сейфу на Sui, оголосив учора (21 квітня), що розпочав заморожування викрадених активів після експлойту на $3,5 млн. Хакери викрали WBTC, XAUm і USDG з Volo Vaults, що стало найновішим масштабним порушенням безпеки в DeFi за місяць, який для сектора виявився історично важким у плані інцидентів.
GateNews4год тому
Французьку родину змусили переказати $820K в криптовалюті після збройного вторгнення в дім
Повідомлення Gate News, 22 квітня — Родину в Плуадальмезо, невеликому місті в Бретані, Франція, у понеділок (20 квітня), за даними The Block, було атаковано двома озброєними чоловіками в масках. Трьох дорослих утримували зв’язаними понад три години та змусили переказати приблизно 700,000 євро (приблизно $820,000) i
GateNews5год тому
Міністерство юстиції США запускає процес компенсацій для жертв шахрайства OneCoin: доступно понад $40M відшкодованих активів
Повідомлення Gate News, 22 квітня — Міністерство юстиції США оголосило про запуск процесу компенсацій для жертв криптовалютної афери OneCoin: тепер для розподілу доступно понад $40 млн у відшкодованих активах.
Схема, яку з 2014 по 2019 рік вели Руja Ігнатова та Карл Себастьян Грінвуд, ошукала інвесторів по всьому світу на понад млрд.
GateNews6год тому
AI16Z, ELIZAOS: авторів позивають через звинувачення у шахрайстві на $2,6 млрд; обвал токенів на 99,9% від піку
Федеральний колективний позов звинувачує AI16Z/ELIZAOS у криптовому шахрайстві на $2,6 млрд через фейкові твердження про ШІ та оманливий маркетинг, стверджуючи внутрішні преференції та інсценовану автономну систему; вимагає відшкодування збитків за законами про захист прав споживачів.
Анотація: Цей звіт охоплює федеральний колективний позов у SDNY, поданий 21 квітня, що звинувачує AI16Z та його перейменування ELIZAOS у криптовому шахрайстві на $2,6 млрд із використанням фейкових заяв про ШІ та оманливого маркетингу. У справі стверджується про змодельований зв’язок із Andreessen Horowitz та про неавтономну систему. У ній описано пікову оцінку на початку 2025 року, обвал на 99,9% та приблизно 4 000 гаманців, що зазнали збитків, при цьому інсайдери отримували близько 40% нових токенів. Позивачі вимагають відшкодування збитків і справедливого (еквітного) захисту за законами Нью-Йорка та Каліфорнії про захист прав споживачів. Регулятори в Кореї та великі біржі попереджали або призупиняли пов’язану торгівлю.
GateNews8год тому
Повідомлення від SlowMist: Активне шкідливе ПЗ macOS MacSync Stealer, що націлене на користувачів криптовалюти
SlowMist попереджає про MacSync Stealer (v1.1.2) для macOS, який викрадає гаманці, облікові дані, зв’язки ключів (keychains) і ключі інфраструктури, використовуючи підроблені підказки AppleScript та фейкові повідомлення про «unsupported»; закликає до обережності й обізнаності щодо IOCs.
Анотація: Цей звіт підсумовує сповіщення SlowMist про MacSync Stealer (v1.1.2) — інформаційного викрадача для macOS, який націлений на криптовалютні гаманці, облікові дані браузера, системні keychains та ключі інфраструктури (SSH, AWS, Kubernetes). Він вводить користувачів в оману, показуючи підроблені діалоги AppleScript із запитами паролів та видимими фейковими повідомленнями «unsupported». SlowMist надає IOCs своїм клієнтам і радить уникати неперевірених скриптів для macOS та залишатися пильними щодо незвичних підказок пароля.
GateNews9год тому
