安全研究員 Doyeon Park 於 4 月 21 日公開揭露 Cosmos 共識層 CometBFT 中存在一個 CVSS 7.1 級高危零日漏洞,可能導致節點在區塊同步(BlockSync)階段遭惡意對等節點攻擊而陷入死鎖,影響保障超 80 億美元資產的網路。
漏洞技術原理:惡意節點高度報告操縱致無限死鎖
漏洞存在於 CometBFT 的 BlockSync 機制中。正常情況下,對等節點在連接時會報告遞增的最新區塊高度(latest)。然而,現有代碼未驗證對等節點先報告高度 X 後再報告更低高度 Y 的情況——例如先報告 2000,再報告 1001。此時,同步中的節點 A 將永久等待追上高度 2000,即使惡意節點斷線,目標高度也不會重新計算,導致節點陷入無限死鎖,無法重新加入網路。受影響版本為 <= v0.38.16 和 v1.0.0,已修補版本為 v1.0.1 和 v0.38.17。
協調披露失敗:供應商降級 CVE 的完整時間軸
Park 遵循了標準的協調漏洞披露(CVD)流程,但過程多次遭遇阻礙:2 月 22 日提交首份報告,供應商要求以公開 GitHub issue 形式提交但拒絕公開披露;3 月 4 日第二份報告被 HackerOne 標記為垃圾郵件;3 月 6 日供應商將漏洞嚴重程度從「中等/高」自行降級為「資訊性(影響可忽略不計)」,Park 提交網路級概念驗證(PoC)予以反駁;4 月 21 日最終決定公開披露。
Park 還指出,供應商此前曾對具有相同影響的漏洞 CVE-2025-24371 進行類似的降級操作,被認為違反了 CVSS 等公認的國際漏洞評估標準。
緊急指引:驗證者現在需要採取的行動
在補丁正式部署前,Park 建議所有 Cosmos 驗證者盡可能避免重啟節點。已處於共識模式的節點可以繼續正常運行;但如果重新啟動並進入 BlockSync 同步過程,可能因遭受惡意節點攻擊而陷入死鎖。
作為臨時緩解措施:若發現 BlockSync 卡住,可通過提高日誌等級識別報告無效高度的惡意對等節點,並在 P2P 層封鎖該節點。最根本的解決方案是盡快升級至已修補的 v1.0.1 或 v0.38.17 版本。
常見問題
CometBFT 的這個漏洞是否能直接竊取資產?
不能。此漏洞無法直接竊取資產或危及鏈上資金安全。其影響是導致節點在 BlockSync 同步階段陷入死鎖,使節點無法正常參與網路,可能影響驗證者的出塊和投票能力,進而影響相關區塊鏈的活躍性。
驗證者如何判斷節點是否已遭受此漏洞攻擊?
如果節點在 BlockSync 階段卡住,目標高度停止增加是一個可能的跡象。可以提高 BlockSync 模組的日誌等級,查看是否有接收到異常高度訊息的對等節點記錄,從而識別潛在的惡意節點,並在 P2P 層進行封鎖。
供應商將漏洞降級為「資訊性」是否符合標準?
Park 的 CVSS 評分(7.1,高危)基於標準國際評分方法,且 Park 提交了可驗證的網路級 PoC 以反駁降級決定。供應商將其降為「影響可忽略不計」被安全社群認為違反了 CVSS 等公認的國際漏洞評估標準,這一爭議也是 Park 最終決定公開披露的核心原因之一。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
加密駭客推動華爾街代幣化辯論
高知名度的加密貨幣漏洞測試了 DeFi 的風險,儘管不太可能打亂代幣化的進程;機構偏好許可式鏈,而更廣泛的代幣化必須與 DeFi 互通;穩定幣面臨審查,並可能引發監管反彈。
Crypto Frontier2小時前
Volo Protocol 在 Sui 駭客攻擊中損失 350 萬美元,承諾吸收損失並凍結駭客資金
Gate 新聞訊息,4 月 22 日——Volo Protocol 是 Sui 上的收益金庫營運商,昨日 (4 月 21 日) 宣布,在一宗價值 350 萬美元的漏洞事件之後,它已開始凍結被盜資產。駭客從 Volo Vaults 機槓走了 WBTC、XAUm 和 USDG,這標誌著近期最重大的一次 DeFi 資安事故,發生在該產業一個歷來特別嚴峻的月份之中。
GateNews6小時前
法國家庭在武裝入侵後被迫 $820K 以加密貨幣轉帳
Gate News 訊息,4 月 22 日——根據 The Block 的報導,法國布列塔尼大區的一個小鎮 Ploudalmézeau,週一 (4 月 20 日) 遭到兩名持械蒙面男子入侵。三名成年人被綁縛超過三小時,並被迫將約 700,000 歐元 (約 $820,000) 以加密貨幣轉移到由攻擊者控制的錢包中。嫌疑人駕車逃離;該車輛後來被警方在布雷斯特(Brest)找回,但目前尚未逮捕任何人。
此次事件屬於法國更廣泛的趨勢的一部分。今年截至目前,法國司法警察已記錄超過 40 起與加密貨幣相關的綁架或搶劫案件,較 2025 年約 30 起有所增加。先前的受害者包括一位串流創作者的家人、主要加密貨幣交易所的一名高管,以及一名女性法官。
GateNews7小時前
DOJ 啟動 OneCoin 詐欺受害者賠償流程,已追回資產 $40M+ 可供使用
Gate News 消息,4月22日 — 美國司法部已宣布啟動針對 OneCoin 加密貨幣詐欺計畫受害者的賠償流程,目前已有超過 $40 百萬美元的已追回資產可供分配。
該詐欺計畫由 Ruja
GateNews8小時前
AI16Z、ELIZAOS 造幣方因 26 億美元詐欺指控被起訴;代幣自巔峰暴跌 99.9%
聯邦集體訴訟指控 AI16Z/ELIZAOS 涉嫌透過虛假的 AI 聲稱與誤導性行銷進行價值 26 億美元的加密詐欺;指稱內部人士偏袒與一套被安排的自主系統;並根據消費者保護法尋求損害賠償。
摘要:本報告涵蓋一起於 4 月 21 日提出的 SDNY(紐約南區聯邦法院)聯邦集體訴訟,指控 AI16Z 及其改名後的 ELIZAOS 涉嫌涉及 26 億美元的加密詐欺,內容包含虛假的 AI 聲稱與誤導性行銷。訴訟指稱其刻意製造與 Andreessen Horowitz 之間的關聯,且運作的並非自主系統。報告詳述其在 2025 年初達到最高估值、下跌 99.9%,以及約 4,000 個虧損錢包,同時內部人士取得約 40% 的新代幣。原告依紐約與加州的消費者保護法尋求損害賠償與衡平救濟。韓國監管機構與主要交易所已對相關交易發出警告或暫停交易。
GateNews9小時前
SlowMist 警報:正在運作的 MacSync Stealer macOS 惡意程式,鎖定加密用戶
SlowMist 警告:MacSync Stealer (v1.1.2),針對 macOS 的惡意程式,會竊取錢包、憑證、鑰匙串以及基礎設施金鑰,透過偽造的 AppleScript 提示與虛假的「不支援」錯誤;呼籲提高警惕並留意 IOCs。
摘要:本報告彙整 SlowMist 對 MacSync Stealer (v1.1.2) 的警示內容,該惡意程式為 macOS 資訊竊取程式,目標鎖定加密貨幣錢包、瀏覽器憑證、系統鑰匙串以及基礎設施金鑰 (SSH、AWS、Kubernetes)。它透過偽造的 AppleScript 對話框來欺騙使用者,要求輸入密碼,並顯示可見的虛假「不支援」訊息。SlowMist 向客戶提供 IOCs,並建議避免執行未經驗證的 macOS 腳本,且對異常的密碼提示保持警覺。
GateNews10小時前
