Asymetric Research, bezpečnostní firma, která přispívá k protokolu interoperability Wormhole, zveřejnila podrobnosti o zranitelnosti ovlivňující ekosystém blockchainu Cosmos, která podle ní mohla ohrozit více než 150 milionů dolarů.
Společnost Asymmetric soukromě odhalila chybu – „zranitelnost opětovného vstupu“ – vývojovému týmu Cosmos a říká, že byla vyřešena dříve, než měl někdo příležitost ji využít.
"Soukromě jsme odhalili zranitelnost prostřednictvím programu Cosmos HackerOne Bug Bounty a problém je nyní opraven," uvedl Asymmetric v prohlášení. "Nedošlo k žádnému škodlivému zneužívání a nedošlo ke ztrátě finančních prostředků."
Jessy Irwin, generální ředitel společnosti Amulet, která je pověřena Interchain Foundation, aby provozovala program odměn za chyby a koordinovala bezpečnost v celém ekosystému Cosmos, potvrdila v e-mailu, že problém byl nahlášen a že k této záležitosti byla vydána zpráva.
Nejdříve Kosmos
Ekosystém Cosmos je komunita blockchainů, které sdílejí některé kódy a základní moduly. Ačkoli tato chyba nevedla ke ztrátě finančních prostředků, byla významná v tom, že poprvé byla objevena zranitelnost ekosystému, která se týká opětovného vstupu – obecně je považována za jednu z nejdůvěryhodnějších a nejbezpečnějších technologických platforem blockchainu.
Primární součástí většiny řetězců Cosmos je Inter-Blockchain Communication Protocol neboli IBC – technologie, která umožňuje blockchainům snadno mezi sebou komunikovat a posílat aktiva tam a zpět. Zranitelnost Asymmetric byla objevena v ibc-go, referenční implementaci IBC používané řadou řetězců Cosmos.
„Během koordinace tohoto problému se jak Amulet, tak tým IBC-go zapojili do nezávislých kol hodnocení dopadu na základě rizik, aby identifikovali potenciálně ovlivněné strany, aby zmírnili jeho dopad,“ říká Irwin.
Tato zranitelnost, typ chyby reentrancy, by teoreticky umožnila útočníkovi razit nekonečné tokeny na řetězcích propojených s IBC, jako je Osmosis, která hostí jeden z největších ekosystémů decentralizovaných financí (DeFi) na Cosmosu.
"I když tato zranitelnost existuje v ibc-go od začátku, stala se zneužitelnou pouze díky nedávnému vývoji v ekosystému Cosmos SDK," uvedl Asymmetric v blogovém příspěvku zveřejněném v úterý. Tato zranitelnost byla odemčena s příchodem „prostředního softwaru IBC“ – aplikací třetích stran vytvořených pomocí CosmWasm, inteligentního smluvního běhu založeného na WebAssembly, který umožňuje použití tokenů napříč blockchainy.
„Tato zranitelnost podtrhuje kritickou potřebu dalšího výzkumu bezpečnostních rizik napříč řetězci, aby bylo možné lépe chránit víceřetězcový ekosystém,“ řekl generální ředitel společnosti Asymmetric Jonathan Claudius, bývalý šéf bezpečnosti v rizikové firmě Jump Crypto. "Tento případ demonstruje naši schopnost a pokračující úsilí odhalit a neutralizovat existenční hrozby, které by mohly podkopat digitální ekonomiku."
