安全研究员 Doyeon Park 于 4 月 21 日公开披露 Cosmos 共识层 CometBFT 中存在一个 CVSS 7.1 级高危零日漏洞,可能导致节点在区块同步(BlockSync)阶段遭受恶意对等节点攻击而陷入死锁,影响保障超 80 亿美元资产的网络。
漏洞技术原理:恶意节点高度高报操纵致无限死锁
漏洞存在于 CometBFT 的 BlockSync 机制中。正常情况下,对等节点在连接时会报告递增的最新区块高度(latest)。然而,现有代码未验证对等节点先报高度 X 再报更低高度 Y 的情况——例如先报 2000,再报 1001。此时,同步中的节点 A 将永久等待追上高度 2000,即使恶意节点断线,目标高度也不会重新计算,导致节点陷入无限死锁,无法重新加入网络。受影响版本为 <= v0.38.16 和 v1.0.0,已修补版本为 v1.0.1 和 v0.38.17。
协调披露失败:供应商降级 CVE 的完整时间轴
Park 遵循了标准的协协调漏洞披露(CVD)流程,但过程多次遭遇阻碍:2 月 22 日提交首份报告,供应商要求以公开 GitHub issue 形式提交但拒绝公开披露;3 月 4 日第二份报告被 HackerOne 标记为垃圾邮件;3 月 6 日供应商将漏洞严重程度从「中等/高」自行降级为「信息性(影响可忽略不计)」,Park 提交网络级概念验证(PoC)以反驳;4 月 21 日最终决定公开披露。
Park 还指出,供应商此前曾对具有相同影响的漏洞 CVE-2025-24371 进行类似的降级操作,被认为违反了 CVSS 等公认的国际漏洞评估标准。
紧急指引:验证者现在需要采取的行动
在补丁正式部署前,Park 建议所有 Cosmos 验证者尽可能避免重启节点。已处于共识模式的节点可以继续正常运行;但如果重新启动并进入 BlockSync 同步过程,可能因遭受恶意对等节点攻击而陷入死锁。
作为临时缓解措施:若发现 BlockSync 卡住,可通过提高日志等级识别报告无效高度的恶意对等节点,并在 P2P 层封锁该节点。最根本的解决方案是尽快升级至已修补的 v1.0.1 或 v0.38.17 版本。
常见问题
CometBFT 的这个漏洞是否能直接窃取资产?
不能。此漏洞无法直接窃取资产或危及链上资金安全。其影响是导致节点在 BlockSync 同步阶段陷入死锁,使节点无法正常参与网络,可能影响验证者的出块和投票能力,从而影响相关区块链的活跃性。
验证者如何判断节点是否已遭受此漏洞攻击?
如果节点在 BlockSync 阶段卡住,目标高度停止增加是一个可能的迹象。可以提高 BlockSync 模块的日志等级,查看是否有接收到异常高度消息的对等节点记录,从而识别潜在的恶意节点,并在 P2P 层进行封锁。
供应商将漏洞降级为「信息性」是否符合标准?
Park 的 CVSS 评分(7.1,高危)基于标准国际评分方法,且 Park 提交了可验证的网络级 PoC 以反驳降级决定。供应商将其降为「影响可忽略不计」被安全社群认为违反了 CVSS 等公认的国际漏洞评估标准,这一争议也是 Park 最终决定公开披露的核心原因之一。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
加密黑客推动华尔街代币化辩论
高调的加密货币漏洞利用测试了 DeFi 的风险,但不太可能扰乱代币化;机构更偏好许可链,而更广泛的代币化必须与 DeFi 互操作;稳定币面临审查,并可能引发监管反弹。
Crypto Frontier4小时前
Volo Protocol 在 Sui 黑客事件中损失 350 万美元,承诺吸收损失并冻结黑客资金
Gate News 消息,4月22日——Volo Protocol 是 Sui 上的收益金库运营方,昨日 (4月21日) 宣布,在一次 350 万美元的漏洞利用之后,它已经开始冻结被盗资产。黑客从 Volo Vaults 窃取了 WBTC、XAUm 和 USDG,标志着该领域在一个历史上异常严峻的月份里发生的最新一次重大的 DeFi 安全事故。
GateNews7小时前
法国家庭遭持械入侵后被迫在加密货币转账 $820K
Gate News 消息,4 月 22 日——根据 The Block 的报道,法国布列塔尼地区一个小镇普洛达尔梅泽奥(Ploudalmézeau)的一个家庭在周一 (4 月 20 日)遭到两名持械蒙面男子入侵。三名成年人被捆绑超过三个小时,并被迫将约 700,000 欧元 (约 820,000 美元) i
GateNews8小时前
DOJ 启动 OneCoin 诈骗受害者赔偿流程,已追回资产达 4000 万美元以上可供分配
Gate 新闻消息,4月22日——美国司法部已宣布启动针对 OneCoin 加密货币诈骗案受害者的赔偿流程,现已有超过 $40 百万美元的已追回资产可供分配。
该案由 Ruja 在 2014 年至 2019 年期间运营,
GateNews9小时前
因涉及 26 亿美元欺诈指控而遭起诉:AI16Z、ELIZAOS 创作者;从峰值暴跌 99.9% 的代币崩盘
联邦集体诉讼指控 AI16Z/ELIZAOS 通过虚假的 AI 说法和误导性营销实施价值 26 亿美元的加密诈骗;指称存在内线偏袒,并指控该自主系统系精心布置的;并寻求依据消费者保护法获得损害赔偿。
摘要:本报告介绍一份在 4 月 21 日提起的 SDNY(纽约南区联邦地区法院)联邦集体诉讼。原告指控 AI16Z 及其改名后的 ELIZAOS 发生 26 亿美元的加密诈骗,涉及虚假的 AI 说法与误导性营销。诉讼称该项目与 Andreessen Horowitz 存在“人为制造”的关联,且其并非真正的自主系统。报告还披露了 2025 年初的峰值估值、99.9% 的暴跌,以及约 4,000 个遭受损失的钱包;同时,内线人员获得了约 40% 的新增代币。原告寻求依据纽约与加利福尼亚消费者保护法获得损害赔偿及衡平救济。韩国监管机构以及多家主要交易所已对相关交易发出警告或暂停相关交易。
GateNews11小时前
SlowMist 警报:正在活跃的 MacSync Stealer macOS 恶意软件,针对加密用户
SlowMist 警告 MacSync Stealer (v1.1.2),这是一款针对 macOS 的恶意信息窃取程序,会窃取钱包、凭据、钥匙串以及基础设施密钥,并通过伪造的 AppleScript 提示和虚假的“不支持”错误来实施;敦促保持谨慎并提高对 IOCs 的意识。
摘要:本报告概述了 SlowMist 关于 MacSync Stealer (v1.1.2) 的告警。该恶意程序是一种 macOS 信息窃取程序,目标是加密货币钱包、浏览器凭据、系统钥匙串以及基础设施密钥 (SSH、AWS、Kubernetes)。它通过伪造的 AppleScript 对话框欺骗用户,诱导其输入密码,并显示可见的虚假“不支持”消息。SlowMist 向客户提供 IOCs,并建议避免执行未经验证的 macOS 脚本,同时对异常的密码提示保持警惕。
GateNews12小时前
