Cosmos 披露 5 月主網漏洞調查細節 安全負責人：這一課讓我們明白建立快速安全溝通管道的重要性

上個月，主打跨鏈協議的區塊鏈項目 Cosmos 被發現存在嚴重安全漏洞。為此，該項目背後的開發團隊 Tendermint 於 6 月 17 日發布公告披露漏洞的調查細節。

公告提到，團隊在獲悉漏洞報告的幾小時內，鑒別分類小組（triage team）創建了一個調查工具以檢測相關漏洞，最終在接獲漏洞報告的首 24 小時內，調查工具總共偵測到大約 22 起成功逃過懲罰機制的交易，然而在隨後的進一步檢測中，發現這些數據中包含了多個誤報，主要是該工具廣泛的搜索邏輯所致。

在正常情況下， Cosmos 驗證者（validators）若涉及隨意投票、簽署虛假交易等任何不端行為，其所持有的 ATOM 代幣就會被削減以示懲罰，這些代幣還須等待 21 天才能被贖回。   

根據 Tendermint 的說法，雖然漏洞不能被用來生成新的 ATOM 代幣，也不能被用來竊取其他人的 ATOM 代幣，但允許驗證者能繞過 21 天的約束期，並私自解凍遭鎖倉的代幣。

實際上，此漏洞是在 Cosmos 軟體開發工具套件（SDK）的權益分配模塊（Staking Modules）中被尋獲。據悉，Cosmos SDK 最初是在 2018 年首次亮相，團隊希望提供一個最先進的區塊鏈工具包，作為安全、輕鬆構建區塊鏈的另一種方式。

Tendermint 安全負責人 Jessy Irwin 在接受外媒訪問時表示，這次算是首個影響到 Cosmos 主網絡的漏洞，但針對漏洞處理不是第一次，Irwin 解釋指，「我們已經完成了 7 次安全審核，提出過多個網絡問題、同時還有一個非常活躍的漏洞賞金計劃。過去一年半以來，我們投入了大量資金，只為創建一個積極通報漏洞的環境。」

事實上，在針對這次漏洞的技術修復工作時，鑒別分類小組已啟動了漏洞通知內部流程，即在處理高級和嚴重級別的漏洞時，官方會在公開發佈公共諮詢之前 24 小時提供一個安全漏洞的預先通知，即主動與項目、驗證者社區以及將受到該問題影響的交易所取得聯繫，讓他們知道已經報告了一個關鍵問題，並將在接下來的 24 小時內，為補丁和協調計劃做準備。

目前，該漏洞已第一時間在 Cosmos 網絡上被修復，官方當下已向 Cosmos 驗證者要求執行緊急硬分叉或系統升級，並成功於 5 月 31 日在第 482,100 區塊激活。Irwin 強調，緊急修補漏洞並非易事，為了使這個硬分叉能夠成功執行，同時避免導致網絡分裂，團隊需要同時間將緊急通知傳送給所有 Cosmos 驗證者，以及其他服務供應商。

公告中亦提到，「 雖然我們能夠成功協作解決了 Cosmos 主網上的第一個安全漏洞，但我們會不斷努力改進流程，以便我們在未來可以更好地協調漏洞披露。鑒別分類小組也確定了數個領域，期望可透過社區協作在這些領域上改善未來的協調。」

Irwin 在談及 Cosmos 的未來展望時提到，從這次安全漏洞和升級過程中，學到的其中一堂課是：「與 Cosmos 驗證者和其他服務提供商需建立一個安全通信渠道，我們看見了這方面的一個巨大需求。」Irwin 強調，「我們真的會倡導我們的驗證者和交易者來建立他們自己的安全通信渠道…… 我們正在努力與我們的驗證者群建立這樣的一個通信渠道，這樣我們在未來遇到狀況時，就不用跑來跑去和爭搶信息以便與他們保持聯繫。」

這篇文章 Cosmos 披露 5 月主網漏洞調查細節  安全負責人：這一課讓我們明白建立快速安全溝通管道的重要性 最早出現於 區塊客。

『新聞來源／區塊客 https://blockcast.it/』