Виправлена ​​помилка Cosmos могла поставити під загрозу 150 мільйонів доларів, каже фірма, яка повідомила про це

Asymmetric Research, фірма безпеки, яка сприяє розробці протоколу взаємодії Wormhole, розкрила подробиці вразливості, що впливає на екосистему блокчейну Cosmos , яка, за її словами, могла поставити під загрозу понад 150 мільйонів доларів.

Asymmetric приватно оприлюднив цю помилку — «вразливість повторного входу» — команді розробників Cosmos і каже, що її було усунено до того, як хтось мав можливість використати її.

«Ми приватно розкрили вразливість через програму Cosmos HackerOne Bug Bounty, і тепер проблему виправлено», — йдеться в заяві Asymmetric. «Жодного зловмисного використання не було, і жодних коштів не було втрачено».

Джессі Ірвін, генеральний директор компанії Amulet, яка залучена Interchain Foundation для запуску програми винагород за помилки та координації безпеки в екосистемі Cosmos , підтвердила в електронному листі, що про проблему було повідомлено та що консультативна записка був звільнений у зв'язку з цим.

Спершу Cosmos

Екосистема Cosmos — це спільнота блокчейнів, які мають спільний код і CORE модулі. Хоча помилка T призвела до втрати коштів, вона була важливою, оскільки в екосистемі, яка широко вважається ONE з найбільш надійних і безпечних Технології платформ блокчейн, було виявлено вразливість повторного входу.

Основним компонентом більшості ланцюгів Cosmos є Inter-Blockchain Communication Protocol, або IBC – Технології , яка дозволяє блокчейнам легко спілкуватися ONE з одним і пересилати активи туди- FORTH. Виявлена ​​вразливість Asymmetric була в ibc-go, еталонній реалізації IBC, яка використовується кількома мережами Cosmos .

«Під час координації цього питання як Amulet, так і команда IBC-go взяли участь у незалежних раундах оцінки впливу на основі ризиків, щоб визначити потенційно постраждалі сторони та пом’якшити його вплив», — сказав Ірвін.

Вразливість, тип помилка повторного входу, теоретично дозволив би зловмиснику карбувати нескінченну кількість токенів у мережах, підключених до IBC, як-от Osmosis, де розміщена ONE з найбільших децентралізованих Фінанси екосистем (DeFi) на Cosmos.

«Хоча ця вразливість існувала в ibc-go з самого початку, її можна було використовувати лише через нещодавні розробки в екосистемі Cosmos SDK», — йдеться в дописі в блозі Asymmetric, опублікованому у вівторок. Цю вразливість було розблоковано з появою «проміжного програмного забезпечення IBC» – сторонніх програм, створених за допомогою CosmWasm, середовища виконання смарт-контрактів на основі WebAssembly, яке дозволяє використовувати токени в блокчейнах.

«Ця вразливість підкреслює критичну потребу в додаткових дослідженнях міжланцюгових ризиків безпеки, щоб краще захистити багатоланцюгову екосистему», — сказав генеральний директор Asymmetric Джонатан Клаудіус, колишній керівник служби безпеки венчурної фірми Jump Крипто. «Цей випадок демонструє нашу здатність і постійні зусилля з виявлення та нейтралізації екзистенціальних загроз, які можуть підірвати цифрову економіку».