Bug corrigido no Cosmos pode ter colocado US$ 150 milhões em risco, diz empresa que o relatou

A Asymmetric Research, uma empresa de segurança que contribui para o protocolo de interoperabilidade Wormhole, divulgou detalhes de uma vulnerabilidade que afeta o ecossistema de blockchain Cosmos e que, segundo ela, pode ter colocado mais de US$ 150 milhões em risco.

A Asymmetric divulgou reservadamente o bug – uma "vulnerabilidade de reentrada" – para a equipe de desenvolvimento do Cosmos e disse que ele foi corrigido antes que alguém tivesse a oportunidade de explorá-lo.

"Nós divulgamos a vulnerabilidade privadamente por meio do programa Cosmos HackerOne Bug Bounty e o problema agora está corrigido", disse a Asymmetric em uma declaração. "Nenhuma exploração maliciosa ocorreu e nenhum fundo foi perdido."

Jessy Irwin, CEO da Amulet, que é contratada pela Interchain Foundation para executar o programa de recompensa por bugs e coordenar a segurança em todo o ecossistema Cosmos , confirmou em um e-mail que o problema foi relatado e que um nota consultivafoi liberado sobre o assunto.

Uma estreia no Cosmos

O ecossistema Cosmos é uma comunidade de blockchains que compartilham alguns códigos e módulos CORE . Embora o bug T tenha resultado na perda de fundos, foi significativo porque marcou a primeira vez que uma vulnerabilidade de reentrada foi descoberta para o ecossistema – amplamente considerado uma das plataformas de Tecnologia blockchain mais confiáveis ​​e seguras.

Um componente primário da maioria das cadeias Cosmos é o Inter-Blockchain Communication Protocol, ou IBC – uma Tecnologia que permite que blockchains se comuniquem facilmente ONE si e enviem ativos de um lado para o FORTH. A vulnerabilidade descoberta pela Asymmetric estava no ibc-go, uma implementação de referência do IBC usada por várias cadeias Cosmos .

"Durante a coordenação desta questão, tanto a Amulet quanto a equipe do IBC-go se envolveram em rodadas independentes de avaliação de impacto baseada em risco para identificar partes potencialmente impactadas e mitigar seu impacto", de acordo com Irwin.

A vulnerabilidade, um tipo debug de reentrada, teoricamente permitiria que um invasor cunhasse tokens infinitos em cadeias conectadas ao IBC, como a Osmosis, que hospeda um dos maiores ecossistemas de Finanças descentralizadas (DeFi) no Cosmos.

"Embora essa vulnerabilidade existisse no ibc-go desde o início, ela só se tornou explorável devido aos desenvolvimentos recentes no ecossistema Cosmos SDK", disse a Asymmetric em uma postagem de blog publicada na terça-feira. A vulnerabilidade foi desbloqueada com o advento do "middleware IBC" – aplicativos de terceiros construídos usando CosmWasm, um tempo de execução de contrato inteligente baseado em WebAssembly, que permite que tokens sejam usados ​​em blockchains.

"Esta vulnerabilidade destaca a necessidade crítica de mais pesquisas sobre riscos de segurança entre cadeias para proteger melhor o ecossistema multicadeia", disse o CEO da Asymmetric, Jonathan Claudius, ex-chefe de segurança da empresa de capital de risco Jump Cripto. "Este caso demonstra nossa capacidade e esforços contínuos para descobrir e neutralizar ameaças existenciais que podem minar a economia digital."