Gate News 消息,4 月 22 日——安全研究员朴度妍(Doyeon Park)披露了 Cosmos 共识层 CometBFT 中一项关键的 CVSS 7.1 零日漏洞,该漏洞可能导致节点在区块同步期间冻结,从而潜在影响为 $8 billion 以上资产提供安全保障的网络。该漏洞无法直接窃取资金。
Park 于 2 月 22 日启动协调披露流程,但遭到厂商的阻挠;厂商要求其提交公开的 GitHub 问题,却拒绝公开披露。3 月 4 日,HackerOne 将他的第二份报告标记为垃圾邮件(spam)。3 月 6 日,厂商任意将相关漏洞 (CVE-2025-24371) 降级为“信息级别”(“informational”),无视国际标准。Park 在 4 月 21 日公开披露该缺陷前,提交了网络层面的概念验证(proof-of-concept)以反制这一决定。
Park 建议 Cosmos 验证者在发布补丁之前避免重启节点。已经处于共识模式的节点可以继续运行,但重启并进入同步可能使其暴露在来自恶意对等方的攻击之下,进而可能导致死锁。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
隐私协议 Umbra 关闭前端以阻止攻击者洗钱被盗的 Kelp 资金
Gate 新闻消息,4月22日——隐私协议 Umbra 已关闭其前端网站,以防止攻击者在近期攻击之后利用该协议转移被盗资金,包括导致损失超过 $280 million 的 Kelp 协议泄露事件。约有 $800,000 的被盗资金通过“
GateNews1小时前
慢雾 23pds 警示:Lazarus Group 发布针对加密货币的全新 macOS 工具包
慢雾首席信息安全官 23pds 于 4 月 22 日发布警示,称朝鲜黑客组织 Lazarus Group 已发布全新的原生 macOS 恶意软件工具包“Mach-O Man”,专门针对加密货币行业及高价值企业高管。
Market Whisper3小时前
Justin Sun 起诉 World Liberty Financial:因遭冻结的 WLFI 代币与治理权
Gate News 消息,4 月 22 日——Justin Sun 已向美国加利福尼亚联邦法院提起诉讼,起诉对象为 World Liberty Financial (WLF),这是一项由 Eric Trump 和 Donald Trump Jr. 支持的 DeFi 项目。Sun 指控称:该团队冻结了他所有的 WLFI 持仓,剥夺了他的投票权,并威胁要永久销毁他的
GateNews4小时前
Venus Protocol 攻击者转移 2301 枚 ETH,流入 Tornado Cash 进行洗钱
根据链上分析师 Ai 阿姨于 4 月 22 日的监测,Venus Protocol 攻击者在 11 小时前向地址 0xa21…23A7f 转移 2,301 枚 ETH(约 532 万美元),随后将资金分批转入加密混合器 Tornado Cash 进行清洗;截至监测时,攻击者链上仍持有约 1,745 万美元的 ETH。
Market Whisper5小时前
CometBFT 零日漏洞曝光,80 亿美元 Cosmos 网络节点面临死锁风险
安全研究员 Doyeon Park 于 4 月 21 日公开揭露 Cosmos 共识层 CometBFT 中存在一个 CVSS 7.1 级高危零日漏洞,可能导致节点在区块同步(BlockSync)阶段遭恶意对等节点攻击而陷入死锁,影响保障超 80 亿美元资产的网络。
Market Whisper5小时前
朝鲜 Lazarus 集团发布新款 Mach-O Man macOS 恶意软件,瞄准加密领域
摘要:Lazarus Group 发布了一款名为 Mach-O Man 的原生 macOS 恶意软件工具包,旨在攻击加密平台以及高价值高管;SlowMist 提醒用户在遭受攻击时保持谨慎。
摘要:文章称,Lazarus Group 已推出 Mach-O Man,这是一款面向加密货币平台和高价值高管的 macOS 原生恶意软件工具包。SlowMist 警告用户谨慎行事,以降低潜在攻击风险。
GateNews5小时前
