Un error parcheado en Cosmos podría haber puesto en riesgo 150 millones de dólares, afirma la empresa que lo informó

Asynchronous Research, una empresa de seguridad que contribuye al protocolo de interoperabilidad Wormhole, reveló detalles de una vulnerabilidad que afecta al ecosistema blockchain de Cosmos y que, según dice, podría haber puesto en riesgo más de 150 millones de dólares.

Asynchronous reveló de forma privada el error –una "vulnerabilidad de reentrada"– al equipo de desarrollo de Cosmos y afirma que fue solucionado antes de que alguien tuviera la oportunidad de explotarlo.

"Divulgamos la vulnerabilidad de forma privada a través del programa Cosmos HackerOne Bug Bounty y el problema ya está solucionado", declaró Asynchronous. "No se produjo ninguna explotación maliciosa ni se perdieron fondos".

Jessy Irwin, CEO de Amulet, contratada por la Fundación Interchain para ejecutar el programa de recompensas por errores y coordinar la seguridad en todo el ecosistema Cosmos , confirmó en un correo electrónico que se informó del problema y que un nota de asesoramientoHabían sido puestos en libertad sobre el asunto.

Una primicia del Cosmos

El ecosistema Cosmos es una comunidad de cadenas de bloques que comparten código y módulos CORE . Si bien el fallo no provocó la pérdida de fondos, fue significativo, ya que marcó la primera vez que se descubrió una vulnerabilidad de reentrada en el ecosistema, considerado ampliamente como una de las plataformas de Tecnología blockchain más confiables y seguras.

Un componente principal de la mayoría de las cadenas Cosmos es el Protocolo de Comunicación Inter-Blockchain (IBC), una Tecnología que permite a las cadenas de bloques comunicarse fácilmente entre ONE y FORTH activos. La vulnerabilidad asimétrica descubierta se encontraba en ibc-go, una implementación de referencia de IBC utilizada por varias cadenas Cosmos .

"Durante la coordinación de este asunto, tanto Amulet como el equipo de IBC-go participaron en rondas independientes de evaluación de impacto basada en riesgos para identificar a las partes potencialmente afectadas y mitigar su impacto", según Irwin.

La vulnerabilidad, un tipo deerror de reentrada, teóricamente habría permitido a un atacante acuñar tokens infinitos en cadenas conectadas a IBC como Osmosis, que alberga ONE de los ecosistemas de Finanzas descentralizadas (DeFi) más grandes en Cosmos.

"Si bien esta vulnerabilidad ha existido en ibc-go desde el principio, solo se volvió explotable gracias a los recientes desarrollos en el ecosistema Cosmos SDK", declaró Asynchronous en una entrada de blog publicada el martes. La vulnerabilidad se desveló con la llegada del middleware IBC: aplicaciones de terceros desarrolladas con CosmWasm, un entorno de ejecución de contratos inteligentes basado en WebAssembly que permite el uso de tokens en distintas cadenas de bloques.

"Esta vulnerabilidad pone de relieve la necesidad crucial de investigar más los riesgos de seguridad entre cadenas para proteger mejor el ecosistema multicadena", declaró Jonathan Claudius, director ejecutivo de Asynchronous y exdirector de seguridad de la firma de capital riesgo Jump Cripto. "Este caso demuestra nuestra capacidad y nuestros continuos esfuerzos para descubrir y neutralizar las amenazas existenciales que podrían socavar la economía digital".