Исправленная ошибка Cosmos могла поставить под угрозу 150 миллионов долларов, утверждает фирма, сообщившая об этом

«Уязвимость повторного входа», о которой Asymmetric в частном порядке сообщила как о своем собственном открытии, была доведена ими до сведения команды разработчиков Cosmos. Эта проблема якобы была решена до любого потенциального неправильного использования.

«Об обнаруженной нами уязвимости было незаметно сообщено через платформу Cosmos HackerOne Bug Bounty, и с тех пор она была исправлена. К счастью, никто не воспользовался ею злонамеренно, и в результате никакие средства не пострадали».

Джесси Ирвин, генеральный директор Amulet, который курирует программу вознаграждения за ошибки Interchain Foundation и управляет безопасностью в сети Cosmos, подтвердил в электронном письме, что им было сообщено о проблеме. С тех пор было обнародовано предупреждение по этому поводу.

Космос прежде всего

Сеть Cosmos состоит из нескольких взаимосвязанных блокчейнов, все из которых используют общий код и основные компоненты. Хотя эта ошибка не привела к каким-либо финансовым потерям, она стала первым обнаружением уязвимости повторного входа в систему — неожиданный вывод, который вызвал обеспокоенность по поводу ранее не подвергавшейся сомнению безопасности и надежности блокчейн-платформы Cosmos.

Протокол межблокчейнной связи (IBC) является важной частью многих блокчейнов Cosmos, обеспечивая бесперебойную связь между различными блокчейнами и упрощая передачу активов между ними. Недавно Asymmetric обнаружила слабость в ibc-go, популярной версии IBC, используемой несколькими сетями Cosmos.

В процессе решения этого вопроса команды из Amulet и IBC-go провели отдельные оценки, чтобы найти потенциальных сторон, затронутых этим инцидентом, и уменьшить воздействие. (перефразированное заявление Ирвина)

Злоумышленник потенциально мог создать неограниченное количество токенов на совместимых блокчейнах, таких как Osmosis, часть большой сети децентрализованных финансов (DeFi) на Cosmos, из-за уязвимости, известной как ошибка повторного входа. Проблемы такого типа позволяют злоумышленникам использовать определенные последовательности транзакций и манипулировать системой.

Хотя слабость в ibc-go присутствовала с момента ее создания, ее нельзя было использовать до появления новых функций в сообществе Cosmos SDK, в частности, разработки «промежуточного программного обеспечения IBC» — пользовательских приложений, созданных с использованием CosmWasm, среды выполнения смарт-контрактов. на основе WebAssembly. Это нововведение позволило передавать токены между блокчейнами.

«Обнаружение этой уязвимости подчеркивает важность проведения дополнительных исследований межсетевых рисков безопасности для повышения безопасности взаимосвязанной сети блокчейнов», — отметил Джонатан Клаудиус, генеральный директор Asymmetric и предыдущий руководитель службы безопасности в Jump Crypto. «Этот инцидент демонстрирует наш опыт и приверженность выявлению и устранению потенциальных опасностей, которые могут поставить под угрозу цифровую экономику».