Secondo Blockworks, una recente indagine di Asymmetric Research ha scoperto una vulnerabilità critica nel protocollo di comunicazione inter-blockchain (IBC). Questo standard facilita l'interazione tra le singole catene del cosmo. La vulnerabilità è stata rilevata specificamente in ibc-go, l'implementazione del linguaggio di programmazione di alto livello Golang del protocollo IBC, e ha interessato il middleware IBC basato su CosmWasm. Il middleware, simile a molti protocolli bridging, consente di inviare pacchetti da una blockchain all’altra. Questi pacchetti vengono archiviati come impegni prima di essere ricevuti ed eliminati correttamente. Se non ricevuti, i token vengono rimborsati tramite una funzionalità di timeout.
Asymmetric Research ha scoperto che il flusso tra il modulo che elimina il controllo del commit potrebbe essere riprodotto. Ciò significava che era possibile sfruttare il bug e generare un numero infinito di token IBC. Molteplici catene erano vulnerabili a questo problema, inclusa Osmosis, uno dei più grandi DEX cross-chain nell'ecosistema Cosmos. Tuttavia, il danno potenziale è stato limitato grazie alla limitazione della velocità sulla catena.
La vulnerabilità è stata divulgata privatamente al programma bug bounty Cosmos HackerOne ed è stata risolta senza alcuno sfruttamento dannoso. La ricerca asimmetrica ha sottolineato la facilità con cui i presupposti di fiducia possono essere infranti e nuove vulnerabilità introdotte aggiungendo nuove caratteristiche e funzionalità. Hanno inoltre sottolineato l'importanza della difesa in profondità e hanno elogiato i team di Cosmos per le loro forti misure di sicurezza che avrebbero potuto salvarli dai rischi esistenziali. È stata rilasciata una patch binaria per correggere il rientro del timeout IBC sottostante senza interrompere il consenso. I contributori hanno dedicato molto tempo e sforzi alla valutazione delle implicazioni sulla sicurezza dei problemi menzionati.