Blockworks によると、Asymmetric Research による最近の調査で、ブロックチェーン間通信 (IBC) プロトコルに重大な脆弱性が発見されました。この標準は、個々のコスモス チェーン間のやり取りを容易にします。この脆弱性は、IBC プロトコルの Golang 高水準プログラミング言語実装である ibc-go で具体的に発見され、CosmWasm ベースの IBC ミドルウェアに影響を及ぼしました。このミドルウェアは、多くのブリッジ プロトコルと同様に、あるブロックチェーンから別のブロックチェーンにパケットを送信できます。これらのパケットは、適切に受信されて削除されるまで、コミットメントとして保存されます。受信されなかった場合、タイムアウト機能によってトークンが返金されます。
Asymmetric Research は、コミットメント制御を削除するモジュール間のフローが再生可能であることを発見しました。つまり、バグを悪用して IBC トークンを無限に生成することが可能でした。この問題に対して脆弱なチェーンは複数あり、その中には Cosmos エコシステムで最大のクロスチェーン DEX の 1 つである Osmosis も含まれていました。ただし、チェーンのレート制限により、潜在的な損害は限定的でした。
この脆弱性は Cosmos HackerOne バグ報奨金プログラムに非公開で公開され、悪意のある悪用なしに解決されました。Asymmetric Research は、新しい機能や機能を追加することで、信頼の前提が簡単に破られ、新しい脆弱性が導入される可能性があることを強調しました。また、多層防御の重要性を強調し、Cosmos チームの強力なセキュリティ対策を称賛しました。これにより、実存的リスクからチームを救えた可能性があります。コンセンサスを破ることなく、根本的な IBC タイムアウトの再入を修正するバイナリ パッチがリリースされました。貢献者は、言及された問題のセキュリティへの影響を評価するために多くの時間と労力を費やしました。