Tendermint afirma que la vulnerabilidad de Cosmos del mes pasado expuso una falla de seguridad

Los desarrolladores detrás de la red Cosmos publicaron hoy una Aviso legal completa de la "vulnerabilidad de seguridad crítica" del mes pasado que supuestamente permitió a los piratas informáticos eludir ciertas sanciones por mala conducta en la red.

Zaki Manian, director de Tendermint Inc, la entidad con fines de lucro detrás de la Tecnología CORE de la red Cosmos , detalló a CoinDesk en una entrevista:

La clave es que queremos dificultar al máximo las malas prácticas en la red y, luego, retirar los tokens de su participación inmediatamente para evitar las consecuencias de dichas malas prácticas... como votar por algo malo en la gobernanza, o, algo más complejo, la doble señalización contra un exchange para potencialmente revertir el estado.

Normalmente, los validadores de Cosmos (equivalentes a los mineros en una red blockchain de prueba de trabajo) que cometen errores, ya sea votando de forma aleatoria o aprobando transacciones falsas, son penalizados con la reducción de sus tokens ATOM en staking. Esto es posible gracias a un periodo de espera mínimo de 21 días que impide que los validadores desactiven sus tokens ATOM antes de que la red pueda detectar y analizar adecuadamente sus acciones.

Como se indica enla publicación de hoySegún el equipo de Tendermint, la vulnerabilidad del código descubierta el mes pasado podría permitir a un validador eludir el período completo de desparticipación o "desvinculación" "y hacer que sus fondos se vuelvan líquidos de inmediato, esencialmente desvinculación instantánea".

"En las primeras 24 horas de recibir el informe de error, nuestras herramientas detectaron aproximadamente 22 Eventos en total", escribió el equipo.

Cosmos , que se lanzó en marzo pasado, es una red blockchain relativamente nueva diseñada para mejorar la interoperabilidad entre diferentes plataformas blockchain. Un informe... 16 millones de dólaresSe recaudó en una oferta inicial de monedas en 2017.

La vulnerabilidad de seguridad revelada hoy se encontró en el módulo de staking del Kit de Desarrollo de Software (SDK) de Cosmos , que se lanzó en 2018 como un kit de herramientas blockchain de vanguardia. En su momento, se describió como "otra forma de construir cadenas de bloques de forma segura y sencilla". en una entrada de blog anterior.

Lecciones aprendidas

Jessy Irwin, jefe de seguridad de Tendermint, dijo en una entrevista con CoinDesk que si bien la vulnerabilidad revelada hoy es la primera de su tipo que afecta a la red principal de Cosmos , "no es el primer error que nos han informado".

"Hemos pasado por siete auditorías de seguridad y se han detectado múltiples problemas, además de contar con un programa de recompensas por errores muy activo", dijo Irwin. "Hemos invertido BIT durante el último año y medio, desde que me uní al equipo, en crear un entorno donde la gente reporta errores en lugar de no hacer nada al respecto".

La vulnerabilidad, ya completamente corregida en la red Cosmos , requirió que los validadores de Cosmos ejecutaran una bifurcación dura de emergencia o una actualización del sistema. La actualización se activó el 31 de mayo en el bloque número 482,100.

Irwin destacó que para que esta bifurcación dura se ejecute con éxito sin provocar una división de la red, es necesario enviar un aviso urgente a todos los validadores de Cosmos y otros proveedores de servicios que ejecutaban el software Cosmos en sus computadoras.

De cara al futuro, Irwin le dijo a CoinDesk que una de las mayores lecciones aprendidas del proceso de Aviso legal y actualización de seguridad fue una mayor necesidad de canales de comunicación seguros con los validadores de Cosmos y otros proveedores de servicios.

Irwin enfatizó:

"Realmente vamos a abogar por que nuestro centro de validadores e intercambios abra sus propios canales de comunicación de seguridad... Estamos trabajando arduamente con nuestro grupo de validadores para que esto sea posible, de modo que la próxima vez no tengamos que buscar información a toda prisa para Contáctanos ".

Imagen de Zaki Manian cortesía de Web3 Foundation