Selon Blockworks, une enquête récente d'Asymétrique Research a révélé une vulnérabilité critique dans le protocole de communication inter-blockchain (IBC). Cette norme facilite l’interaction entre les chaînes cosmos individuelles. La vulnérabilité a été spécifiquement découverte dans ibc-go, le langage de programmation de haut niveau Golang implémentant le protocole IBC, et a affecté le middleware IBC basé sur CosmWasm. Le middleware, similaire à de nombreux protocoles de pontage, permet d'envoyer des paquets d'une blockchain à une autre. Ces paquets sont stockés sous forme d'engagements avant d'être correctement reçus et supprimés. S'ils ne sont pas reçus, les jetons sont remboursés via une fonctionnalité de délai d'attente.
Ametric Research a découvert que le flux entre les modules supprimant le contrôle d'engagement pouvait être rejoué. Cela signifiait qu'il était possible d'exploiter le bug et de générer un nombre infini de jetons IBC. Plusieurs chaînes étaient vulnérables à ce problème, notamment Osmosis, l'un des plus grands DEX inter-chaînes de l'écosystème Cosmos. Cependant, les dommages potentiels étaient limités en raison de la limitation du débit sur la chaîne.
La vulnérabilité a été divulguée en privé au programme de bug bounty Cosmos HackerOne et a été résolue sans aucune exploitation malveillante. Ametric Research a souligné la facilité avec laquelle les hypothèses de confiance peuvent être brisées et de nouvelles vulnérabilités introduites par l'ajout de nouvelles caractéristiques et fonctionnalités. Ils ont également souligné l’importance d’une défense en profondeur et ont félicité les équipes de Cosmos pour leurs mesures de sécurité strictes qui auraient pu les préserver des risques existentiels. Un correctif binaire a été publié pour corriger la réentrée sous-jacente du délai d'attente IBC sans rompre le consensus. Les contributeurs ont consacré beaucoup de temps et d'efforts à évaluer les implications en matière de sécurité des problèmes mentionnés.