Sinabi ng Tendermint na Nakalantad na Lutas ng Seguridad ang Kahinaan ng Cosmos Noong nakaraang Buwan

Ang mga developer sa likod ng network ng Cosmos ay naglabas ngayon ng isang buong Disclosure ng "kritikal na kahinaan sa seguridad" noong nakaraang buwan na iniulat na nagbigay-daan sa mga hacker na lampasan ang ilang mga parusa para sa maling pag-uugali sa network.

Zaki Manian, direktor sa Tendermint Inc – ang for-profit na entity sa likod ng CORE Technology ng Cosmos network – na nakadetalye sa CoinDesk sa isang panayam:

"Ang susi ay gusto naming gawin itong talagang mahirap na kumilos nang masama sa network at pagkatapos ay alisin agad ang iyong mga token at takasan ang mga kahihinatnan ng maling pag-uugali na iyon...tulad ng pagboto para sa isang bagay na masama sa pamamahala [o] ang mas kumplikadong mga bagay ay double signage laban sa isang palitan sa potensyal na baligtarin ang estado."

Karaniwan, ang mga validator ng Cosmos - na katumbas ng mga minero sa isang proof-of-work na blockchain network - na hindi kumikilos sa pamamagitan ng basta-basta na pagboto o pag-sign off sa mga maling transaksyon ay pinaparusahan sa pamamagitan ng pagputol ng kanilang mga staked na ATOM token. Ito ay ginawang posible sa pamamagitan ng pinakamababang panahon ng paghihintay na 21 araw na pumipigil sa mga validator na alisin ang staking ng kanilang mga ATOM token bago sapat na matukoy at ma-screen ng network ang kanilang mga aksyon.

Gaya ng nakasaad sa post ngayong araw ng Tendermint team, ang code vulnerability na natuklasan noong nakaraang buwan ay maaaring magbigay-daan sa isang validator na i-bypass ang buong un-staking o "un-bonding" period "at ang kanilang mga pondo ay agad na maging likido na mahalagang insta-unbonding."

"Sa loob ng unang 24 na oras ng pagtanggap ng ulat ng bug, ang aming tooling ay nakakita ng ~22 Events sa kabuuan," isinulat ng koponan.

Dahil naging live nitong nakaraang Marso, ang Cosmos ay isang medyo bagong blockchain network na idinisenyo upang mapabuti ang interoperability sa pagitan ng magkakaibang mga platform ng blockchain. Isang iniulat $16 milyon ay itinaas sa isang paunang alok na barya noong 2017.

Ang kahinaan sa seguridad na ibinunyag ngayon ay aktwal na natagpuan sa "staking module" ng Cosmos Software Development Kit (SDK) na nag-debut noong 2018 bilang isang "state-of-the-art" blockchain toolkit. Ito ay detalyado noong panahong iyon bilang "isa pang paraan upang bumuo ng mga blockchain, ligtas at madali" sa isang naunang post sa blog.

Mga aral na natutunan

Sinabi ni Jessy Irwin, pinuno ng seguridad ng Tendermint, sa pakikipanayam sa CoinDesk na habang ang kahinaan na ibinunyag ngayon ay ang unang uri nito na makakaapekto sa pangunahing network ng Cosmos , "hindi ito ang unang bug na naiulat sa amin."

"Nakapagdaan na kami sa pitong pag-audit sa seguridad at nagkaroon kami ng maraming isyu na itinaas at pagkatapos ay nagkaroon din kami ng medyo aktibong bug bounty program," sabi ni Irwin. "Kami ay namuhunan ng BIT sa nakalipas na taon at kalahati mula noong sumali ako sa koponan sa paglikha ng isang kapaligiran kung saan ang mga tao ay nag-uulat ng mga bug sa halip na walang ginagawa tungkol sa mga ito."

Ang kahinaan, na ngayon ay ganap na na-patch sa network ng Cosmos , ay nangangailangan ng Cosmos validators na magsagawa ng emergency hard fork o system-wide upgrade. Ang update ay na-activate noong Mayo 31 sa block number 482,100.

Binigyang-diin ni Irwin na upang matagumpay na maipatupad ang hard fork na ito nang hindi nagreresulta sa isang network split, kailangang itulak ang agarang abiso sa lahat ng mga validator ng Cosmos at iba pang mga service provider na nagpapatakbo ng Cosmos software sa kanilang mga computer.

Sa pasulong, sinabi ni Irwin sa CoinDesk na ang ONE sa pinakamalaking aral na natutunan mula sa Disclosure ng seguridad at proseso ng pag-upgrade ay isang mas malaking pangangailangan para sa mga secure na channel ng komunikasyon sa mga validator ng Cosmos at iba pang mga service provider.

Binigyang-diin ni Irwin:

"Talagang isusulong namin ang aming hub ng mga validator at palitan upang buksan ang kanilang sariling mga channel para sa mga komunikasyon sa seguridad ... Nagsusumikap kami nang husto sa aming validator na nakatakdang buksan iyon upang sa susunod na pagkakataon ay hindi na kami tumatakbo at nag-aagawan para sa impormasyon upang Get In Touch sa kanila."

Larawan ng Zaki Manian sa kagandahang-loob ng Web3 Foundation