Un bug Cosmos corretto avrebbe potuto mettere a rischio 150 milioni di dollari, afferma l'azienda che lo ha segnalato

Asymmetric Research, un'azienda di sicurezza che contribuisce al protocollo di interoperabilità Wormhole, ha divulgato i dettagli di una vulnerabilità che ha avuto un impatto sull'ecosistema blockchain Cosmos e che, secondo l'azienda, avrebbe potuto mettere a rischio più di 150 milioni di dollari.

Asymmetric ha rivelato privatamente il bug, una "vulnerabilità di rientro", al team di sviluppo Cosmos e afferma che è stato risolto prima che qualcuno avesse l'opportunità di sfruttarlo.

"Abbiamo divulgato privatamente la vulnerabilità tramite il programma Cosmos HackerOne Bug Bounty e il problema è stato risolto", ha affermato Asymmetric in una dichiarazione. "Non si è verificato alcuno sfruttamento malevolo e non sono stati persi fondi".

Jessy Irwin, CEO di Amulet, che è ingaggiata dalla Interchain Foundation per gestire il programma bug bounty e coordinare la sicurezza nell'ecosistema Cosmos , ha confermato in un'e-mail che il problema è stato segnalato e che un nota consultivaera stato rilasciato sulla questione.

Una prima volta nel Cosmos

L'ecosistema Cosmos è una comunità di blockchain che condividono codice e moduli CORE . Sebbene il bug T abbia causato la perdita di fondi, è stato significativo in quanto ha segnato la prima volta che è stata scoperta una vulnerabilità di reentrancy per l'ecosistema, ampiamente considerato ONE delle piattaforme Tecnologie blockchain più affidabili e sicure.

Un componente primario della maggior parte delle catene Cosmos è l'Inter-Blockchain Communication Protocol, o IBC, una Tecnologie che consente alle blockchain di comunicare facilmente ONE loro e di inviare risorse avanti e FORTH. La vulnerabilità scoperta da Asymmetric era in ibc-go, un'implementazione di riferimento di IBC utilizzata da numerose catene Cosmos .

"Durante il coordinamento di questa questione, sia Amulet che il team IBC-go hanno condotto cicli indipendenti di valutazione dell'impatto basata sul rischio per identificare le parti potenzialmente interessate e mitigarne l'impatto", secondo Irwin.

La vulnerabilità, un tipo dibug di rientro, avrebbe teoricamente consentito a un aggressore di coniare token infiniti su catene connesse a IBC come Osmosis, che ospita ONE dei più grandi ecosistemi Finanza decentralizzata (DeFi) su Cosmos.

"Sebbene questa vulnerabilità sia esistita in ibc-go sin dall'inizio, è diventata sfruttabile solo a causa dei recenti sviluppi nell'ecosistema Cosmos SDK", ha affermato Asymmetric in un post del blog pubblicato martedì. La vulnerabilità è stata sbloccata con l'avvento di "IBC middleware", applicazioni di terze parti create utilizzando CosmWasm, un runtime di smart contract basato su WebAssembly, che consente l'utilizzo di token su blockchain.

"Questa vulnerabilità evidenzia la necessità critica di una maggiore ricerca sui rischi di sicurezza cross-chain per proteggere meglio l'ecosistema multichain", ha affermato il CEO di Asymmetric Jonathan Claudius, ex responsabile della sicurezza presso la società di venture capital Jump Cripto. "Questo caso dimostra la nostra capacità e i nostri sforzi continui per scoprire e neutralizzare minacce esistenziali che potrebbero minare l'economia digitale".