Разработчики Cosmos исправили критическую уязвимость безопасности в своем протоколе межсетевой коммуникации IBC, которая могла поставить под угрозу как минимум $126 миллионов, сообщила компания по блокчейн-безопасности Asymmetric Research, которая в частном порядке уведомила Cosmos о проблеме.
«Мы конфиденциально раскрыли уязвимость через программу Cosmos HackerOne Bug Bounty, и теперь проблема исправлена», — заявили в Asymmetric Research 23 апреля.
«Никакой злонамеренной эксплуатации не было, и никакие средства не были потеряны», — добавили представители компании.
Эта ошибка могла привести к повторной атаке, позволяющей хакеру чеканить бесконечное количество токенов в блокчейнах, связанных с IBC, таких как Osmosis и других децентрализованных финансовых экосистемах на Cosmos.
«Мы считаем, что по меньшей мере $126 миллионов активов могли быть украдены с помощью Osmosis. Однако ограничение скорости Osmosis замедляет возможный ущерб».
Ограничения скорости служат для предотвращения или, по крайней мере, смягчения атак, которые пытаются перегрузить систему, путем контроля скорости выполнения запросов.
В Asymmetric отметили, что ошибка существует в ibc-go, реализации IBC на языке программирования высокого уровня, с момента его запуска в 2021 году.
Однако уязвимость стала доступна лишь недавно после того, как разработчики Cosmos запустили новое стороннее приложение под названием промежуточное программное обеспечение IBC, которое позволяет токенам стандарта ICS20 перемещаться между блокчейнами.
«Эта проблема демонстрирует, насколько легко нарушить предположения о доверии и создать новые уязвимости, добавляя новые функции и возможности. Это также еще один пример важности глубокоэшелонированной защиты», — подчеркнули в Asymmetric.
Ошибка была исправлена разработчиком Cosmos Карлосом Родригесом около трёх недель назад, как видно из коммита GitHub.
Читайте также: