Cosmos 披露 5 月高危漏洞細節 安全負責人:發現 22 起不當交易

上個月,主打跨鏈協議的區塊鏈項目 Cosmos 被發現存在嚴重安全漏洞。為此,該項目背後的開發團隊 Tendermint 於 6 月 17 日發布公告披露漏洞細節。該團隊寫道,「接獲漏洞報告的 24 小時內,我們的工具總共偵測到大約 22 起成功逃過懲罰機制的交易。」

正常情況下, Cosmos 驗證者若涉及隨意投票、簽署虛假交易等任何不端行為,其所持有的 ATOM 代幣就會被削減以示懲罰,這些代幣還須等待 21 天才能被贖回。   

根據 Tendermint 的說法,雖然漏洞不能被用來生成新的 ATOM 代幣,也不能被用來竊取其他人的 ATOM 代幣,但允許驗證者能繞過 21 天的約束期,並私自解凍遭鎖倉的代幣。

實際上,此漏洞是在 Cosmos 軟體開發工具套件(SDK)的權益分配模塊(Staking Modules)中被尋獲。據悉,Cosmos SDK 最初是在 2018 年以「最先進的區塊鏈工具包」首次亮相,並被描述為「安全、輕鬆構建區塊鏈的另一種方式」。

Tendermint 安全負責人 Jessy Irwin 表示,雖然這是首個影響到 Cosmos 主網絡的漏洞,但並不是首個外界向我們通報的漏洞。Irwin 接著提到,

「我們已經完成了 7 次安全審核,提出過多個網絡問題、同時還有一個非常活躍的漏洞賞金計劃。過去一年半以來,我們投入了大量資金,只為創建一個積極通報漏洞的環境。」

目前,該漏洞已第一時間在 Cosmos 網絡上被修復,緊急要求 Cosmos 驗證者執行緊急硬分叉或系統升級,並成功於 5 月 31 日在第 482,100 區塊激活。

Irwin 強調,緊急修補漏洞並非易事,為了使這個硬分叉能夠成功執行,同時避免導致網絡分裂,團隊需要同時間將緊急通知傳送給所有在網絡上運行 Cosmos 軟體的 Cosmos 驗證者,以及其他服務供應商。

 

這篇文章 Cosmos 披露 5 月高危漏洞細節  安全負責人:發現 22 起不當交易 最早出現於 區塊客。

 

『新聞來源/區塊客 https://blockcast.it/


延伸閱讀

留言載入中...P