Ang Patched Cosmos Bug ay Maaaring Maglagay ng $150M sa Panganib, Sabi ng Firm na Nag-ulat Nito

Ang Asymmetric Research, isang security firm na nag-aambag sa Wormhole interoperability protocol, ay nagsiwalat ng mga detalye ng isang kahinaan na nakakaapekto sa Cosmos blockchain ecosystem na sinasabi nitong maaaring maglagay ng higit sa $150 milyon sa panganib.

Pribadong ibinunyag ng Asymmetric ang bug – isang "reentrancy vulnerability" - sa development team ng Cosmos at sinabing natugunan ito bago nagkaroon ng pagkakataon ang sinuman na pagsamantalahan ito.

"Pribado naming isiniwalat ang kahinaan sa pamamagitan ng programa ng Cosmos HackerOne Bug Bounty at ang isyu ay na-patch na ngayon," sabi ni Asymmetric sa isang pahayag. "Walang malisyosong pagsasamantalang naganap at walang nawalang pondo."

Si Jessy Irwin, CEO ng Amulet, na nakikipag-ugnayan ng Interchain Foundation para patakbuhin ang bug bounty program at i-coordinate ang seguridad sa buong Cosmos ecosystem, na kinumpirma sa isang email na ang isyu ay iniulat, at isang tala ng payo ay inilabas sa usapin.

Isang Cosmos muna

Ang Cosmos ecosystem ay isang komunidad ng mga blockchain na nagbabahagi ng ilang code at CORE modules. Bagama't ang bug ay T nagresulta sa pagkawala ng mga pondo, ito ay makabuluhan dahil minarkahan nito ang unang pagkakataon na ang isang reentrancy vulnerability ay natuklasan para sa ecosystem – malawak na itinuturing na ONE sa mga pinaka-mapagkakatiwalaan at secure na blockchain Technology platform.

Ang pangunahing bahagi ng karamihan sa mga chain ng Cosmos ay ang Inter-Blockchain Communication Protocol, o IBC – isang Technology na nagpapahintulot sa mga blockchain na madaling makipag-ugnayan sa ONE isa at magpadala ng mga asset pabalik- FORTH. Ang vulnerability na natuklasan ng Asymmetric ay nasa ibc-go, isang reference na pagpapatupad ng IBC na ginagamit ng ilang Cosmos chain.

"Sa panahon ng koordinasyon ng isyung ito, ang parehong Amulet at ang IBC-go team ay nakikibahagi sa mga independiyenteng round ng risk-based na pagtatasa ng epekto upang matukoy ang mga potensyal na maapektuhang partido upang pagaanin ang epekto nito," ayon kay Irwin.

Ang kahinaan, isang uri ng reentrancy bug, ay theoretically pinapayagan ang isang attacker na gumawa ng walang katapusang mga token sa IBC-connected chain tulad ng Osmosis, na nagho-host ng ONE sa pinakamalaking decentralized Finance (DeFi) ecosystem sa Cosmos.

"Habang ang kahinaan na ito ay umiral sa ibc-go mula pa sa simula, ito ay naging mapagsamantala lamang dahil sa kamakailang mga pag-unlad sa Cosmos SDK ecosystem," sabi ni Asymmetric sa isang post sa blog na inilathala noong Martes. Ang kahinaan ay na-unlock sa pagdating ng "IBC middleware" – mga third-party na application na binuo gamit ang CosmWasm, isang WebAssembly-based na smart contract runtime, na nagpapahintulot sa mga token na magamit sa mga blockchain.

"Ang kahinaan na ito ay nagha-highlight sa kritikal na pangangailangan para sa higit pang pananaliksik sa cross-chain na mga panganib sa seguridad upang mas maprotektahan ang multichain ecosystem," sabi ni Asymmetric CEO Jonathan Claudius, dating security chief sa venture firm na Jump Crypto. "Ang kasong ito ay nagpapakita ng aming kakayahan at patuloy na pagsisikap na matuklasan at i-neutralize ang mga umiiral na banta na maaaring makasira sa digital na ekonomiya."