Tendermint afferma che la vulnerabilità di Cosmos del mese scorso ha esposto una falla nella sicurezza

Gli sviluppatori della rete Cosmos hanno rilasciato oggi una Dichiarazione informativa completa sulla "vulnerabilità critica alla sicurezza" del mese scorso, che avrebbe consentito agli hacker di aggirare alcune sanzioni per comportamenti scorretti sulla rete.

Zaki Manian, direttore di Tendermint Inc, l'entità a scopo di lucro dietro la Tecnologie CORE della rete Cosmos , ha dichiarato in un'intervista a CoinDesk :

"La chiave è che vogliamo rendere davvero difficile comportarsi male nella rete e poi annullare immediatamente la puntata dei token e sfuggire alle conseguenze di tale comportamento scorretto... come votare per qualcosa di sbagliato nella governance [o] le cose più complesse sono la doppia segnaletica contro uno scambio per invertire potenzialmente lo stato."

Normalmente, i validatori Cosmos , che sono l'equivalente dei miner su una rete blockchain proof-of-work, che si comportano male, votando a casaccio o firmando transazioni false, vengono penalizzati con il taglio dei loro token ATOM puntati. Ciò è reso possibile da un periodo di attesa minimo di 21 giorni che impedisce ai validatori di annullare lo staking dei loro token ATOM prima che la rete sia in grado di rilevare e controllare sufficientemente le loro azioni.

Come affermato inpost di oggiSecondo il team di Tendermint, la vulnerabilità del codice scoperta il mese scorso potrebbe consentire a un validatore di aggirare l'intero periodo di un-staking o "un-bonding" "e far sì che i propri fondi diventino immediatamente liquidi, sostanzialmente con un istantaneo unbonding".

"Nelle prime 24 ore dalla ricezione della segnalazione di bug, i nostri strumenti hanno rilevato un totale di circa 22 Eventi ", ha scritto il team.

Essendo entrato in funzione lo scorso marzo, Cosmos è una rete blockchain relativamente nuova, progettata per migliorare l'interoperabilità tra diverse piattaforme blockchain. Un report 16 milioni di dollariè stata raccolta tramite un'offerta iniziale di monete nel 2017.

La vulnerabilità di sicurezza divulgata oggi è stata in realtà trovata nel "modulo di staking" del Cosmos Software Development Kit (SDK) che ha debuttato nel 2018 come un toolkit blockchain "all'avanguardia". All'epoca era descritto come "un altro modo per costruire blockchain, in modo sicuro e semplice" in un post precedente del blog.

Lezioni apprese

Jessy Irwin, responsabile della sicurezza di Tendermint, ha dichiarato in un'intervista con CoinDesk che, sebbene la vulnerabilità divulgata oggi sia la prima del suo genere a colpire la rete principale Cosmos , "non è il primo bug che ci viene segnalato".

"Abbiamo superato sette audit di sicurezza e ci sono stati sollevati diversi problemi, e poi abbiamo anche avuto un programma bug bounty piuttosto attivo", ha detto Irwin. "Abbiamo investito BIT nell'ultimo anno e mezzo da quando sono entrato nel team per creare un ambiente in cui le persone segnalano i bug invece di non fare nulla al riguardo".

La vulnerabilità, ora completamente patchata sulla rete Cosmos , ha richiesto ai validatori Cosmos di eseguire un hard fork di emergenza o un aggiornamento a livello di sistema. L'aggiornamento è stato attivato il 31 maggio al blocco numero 482.100.

Irwin ha sottolineato che, affinché questo hard fork venga eseguito correttamente senza causare una divisione della rete, è necessario inviare una notifica urgente a tutti i validatori Cosmos e agli altri fornitori di servizi che eseguono il software Cosmos sui propri computer.

Guardando al futuro, Irwin ha detto a CoinDesk che ONE delle lezioni più importanti apprese dal processo Dichiarazione informativa e aggiornamento della sicurezza è stata la maggiore necessità di canali di comunicazione sicuri con i validatori Cosmos e altri fornitori di servizi.

Irwin ha sottolineato:

"Faremo davvero pressione affinché il nostro hub di validatori e scambi apra i propri canali per le comunicazioni di sicurezza... Stiamo lavorando duramente con il nostro set di validatori per aprirli, così la prossima volta non dovremo correre in giro a cercare informazioni per Contatti con loro".

Immagine di Zaki Manian per gentile concessione della Web3 Foundation