Tendermint утверждает, что уязвимость Cosmos в прошлом месяце выявила лазейку в системе безопасности

Разработчики сети Cosmos сегодня опубликовали полную Раскрытие информации о «критической уязвимости безопасности», обнаруженной в прошлом месяце и, как сообщается, позволившей хакерам обойти определенные санкции за ненадлежащее поведение в сети.

Заки Маниан, директор Tendermint Inc — коммерческой организации, стоящей за CORE Технологии сети Cosmos — рассказал в интервью CoinDesk :

«Главное, что мы хотим сделать так, чтобы было действительно сложно нарушить правила поведения в сети, а затем немедленно снять ставку с токенов и избежать последствий этого неправильного поведения... например, проголосовать за что-то плохое в управлении [или] более сложные вещи, такие как двойная подпись против биржи, чтобы потенциально изменить состояние».

Обычно валидаторы Cosmos , которые эквивалентны майнерам в сети блокчейна proof-of-work, которые ведут себя неподобающим образом, голосуя хаотично или подписывая ложные транзакции, наказываются обрезанием своих застейканных токенов ATOM . Это становится возможным благодаря минимальному периоду ожидания в 21 день, который не позволяет валидаторам отменять застейканные токены ATOM до того, как сеть сможет в достаточной степени обнаружить и отследить их действия.

Как указано всегодняшний постПо данным команды Tendermint, уязвимость кода, обнаруженная в прошлом месяце, может позволить валидатору обойти полный период отмены стейкинга или «отмены связывания» «и немедленно сделать свои средства ликвидными, по сути, мгновенно отменив связывание».

«В течение первых 24 часов с момента получения отчета об ошибке наши инструменты обнаружили в общей сложности около 22 Мероприятия », — написала команда.

Cosmos , запущенный в марте этого года, является относительно новой сетью блокчейнов, которая разработана для улучшения взаимодействия между различными платформами блокчейнов. Сообщается, 16 миллионов долларов был привлечен в ходе первичного предложения монет в 2017 году.

Уязвимость безопасности, раскрытая сегодня, на самом деле была обнаружена в «модуле стейкинга» Cosmos Software Development Kit (SDK), который дебютировал еще в 2018 году как «современный» набор инструментов для блокчейна. В то время он был описан как «еще один способ создания блокчейнов, безопасный и простой». в предыдущей записи в блоге.

Извлеченные уроки

Джесси Ирвин, глава службы безопасности Tendermint, заявила в интервью CoinDesk , что, хотя обнаруженная сегодня уязвимость является первой в своем роде, затронувшей основную сеть Cosmos , «это не первая ошибка, о которой нам сообщили».

«Мы прошли семь проверок безопасности, и у нас было выявлено множество проблем, а затем у нас также была довольно активная программа вознаграждения за ошибки», — сказал Ирвин. «За последние полтора года с тех пор, как я присоединился к команде, мы вложили BIT средств в создание среды, в которой люди сообщают об ошибках, а не ничего не делают».

Уязвимость, которая теперь полностью исправлена ​​в сети Cosmos , потребовала от валидаторов Cosmos выполнить экстренный хардфорк или общесистемное обновление. Обновление было активировано 31 мая на блоке номер 482,100.

Ирвин подчеркнул, что для того, чтобы этот хард-форк был успешно реализован, не приведя к разделению сети, необходимо срочно разослать уведомление всем валидаторам Cosmos и другим поставщикам услуг, на компьютерах которых запущено программное обеспечение Cosmos .

Двигаясь вперед, Ирвин рассказал CoinDesk , что ONE из важнейших уроков, извлеченных из процесса Раскрытие информации и обновления безопасности, стала возросшая потребность в защищенных каналах связи с валидаторами Cosmos и другими поставщиками услуг.

Ирвин подчеркнул:

«Мы действительно собираемся выступать за то, чтобы наш центр валидаторов и бирж открыл свои собственные каналы для безопасной связи... Мы очень усердно работаем с нашим набором валидаторов, чтобы открыть это, так что в следующий раз нам не придется бегать и искать информацию, чтобы Свяжитесь с нами с ними».

Изображение Заки Маниана предоставлено Web3 Foundation