Un bug Cosmos corrigé aurait pu mettre 150 millions de dollars en danger, selon l'entreprise qui l'a signalé

Asymmetric Research, une société de sécurité qui contribue au protocole d'interopérabilité Wormhole, a révélé les détails d'une vulnérabilité affectant l'écosystème blockchain Cosmos qui, selon elle, aurait pu mettre en danger plus de 150 millions de dollars.

Asymmetric a révélé en privé le bug – une « vulnérabilité de réentrance » – à l'équipe de développement de Cosmos et affirme qu'il a été corrigé avant que quiconque ait la possibilité de l'exploiter.

« Nous avons divulgué la vulnérabilité en privé via le programme Cosmos HackerOne Bug Bounty et le problème est désormais corrigé », a déclaré Asymmetric dans un communiqué. « Aucune exploitation malveillante n'a eu lieu et aucune perte financière n'a été constatée. »

Jessy Irwin, PDG d'Amulet, qui est engagé par la Fondation Interchain pour gérer le programme de primes aux bugs et coordonner la sécurité dans l'écosystème Cosmos , a confirmé dans un e-mail que le problème avait été signalé et qu'un note consultativeavait été rendu public à ce sujet.

Une première dans le Cosmos

L'écosystème Cosmos est une communauté de blockchains partageant du code et des modules CORE . Bien que le bug n'ait T entraîné de perte de fonds, il est significatif car il marque la première découverte d'une vulnérabilité de réentrance pour cet écosystème, largement considéré comme ONEune des plateformes Technologies blockchain les plus fiables et les plus sécurisées.

L'un des principaux composants de la plupart des chaînes Cosmos est le protocole de communication inter-blockchains (IBC), une Technologies qui permet aux blockchains de communiquer facilement ONE elles et d' FORTH des actifs. La vulnérabilité découverte par Asymmetric se trouvait dans ibc-go, une implémentation de référence d'IBC utilisée par plusieurs chaînes Cosmos .

« Lors de la coordination de ce problème, Amulet et l'équipe IBC-go ont mené des cycles indépendants d'évaluation d'impact basée sur les risques pour identifier les parties potentiellement impactées afin d'atténuer son impact », selon Irwin.

La vulnérabilité, un type debug de réentrance, aurait théoriquement permis à un attaquant de créer des jetons infinis sur des chaînes connectées à l'IBC comme Osmosis, qui héberge ONEun des plus grands écosystèmes Finance décentralisés (DeFi) sur Cosmos.

« Bien que cette vulnérabilité existe dans ibc-go depuis le début, elle n'est devenue exploitable qu'en raison des récents développements de l'écosystème Cosmos SDK », a déclaré Asymmetric dans un article de blog publié mardi. La vulnérabilité a été débloquée avec l'avènement du « middleware IBC » – des applications tierces développées avec CosmWasm, un environnement d'exécution de contrats intelligents basé sur WebAssembly, qui permet l'utilisation de jetons sur plusieurs blockchains.

« Cette vulnérabilité souligne l'importance cruciale de mener davantage de recherches sur les risques de sécurité inter-chaînes afin de mieux protéger l'écosystème multi-chaînes », a déclaré Jonathan Claudius, PDG d'Asymmetric et ancien responsable de la sécurité de la société de capital-risque Jump Crypto. « Ce cas démontre notre capacité et nos efforts continus pour identifier et neutraliser les menaces existentielles susceptibles de compromettre l'économie numérique. »