De acordo com a Blockworks, uma investigação recente da Asymmetric Research descobriu uma vulnerabilidade crítica no protocolo de comunicação inter-blockchain (IBC). Este padrão facilita a interação entre cadeias cosmos individuais. A vulnerabilidade foi encontrada especificamente no ibc-go, a implementação da linguagem de programação de alto nível Golang do protocolo IBC, e afetou o middleware IBC baseado em CosmWasm. O middleware, semelhante a muitos protocolos de ponte, permite que pacotes sejam enviados de uma blockchain para outra. Esses pacotes são armazenados como compromissos antes de serem recebidos e excluídos adequadamente. Se não forem recebidos, os tokens serão reembolsados através de uma funcionalidade de tempo limite.
A Asimétrica Research descobriu que o fluxo entre o módulo que excluindo o controle de confirmação poderia ser reproduzido. Isso significava que era possível explorar o bug e gerar um número infinito de tokens IBC. Várias cadeias eram vulneráveis a este problema, incluindo Osmosis, uma das maiores DEXs de cadeia cruzada no ecossistema Cosmos. No entanto, o dano potencial foi limitado devido à limitação da taxa na cadeia.
A vulnerabilidade foi divulgada de forma privada ao programa de recompensas de bugs Cosmos HackerOne e foi resolvida sem qualquer exploração maliciosa. A Aesthetic Research enfatizou a facilidade com que as suposições de confiança podem ser quebradas e novas vulnerabilidades introduzidas pela adição de novos recursos e funcionalidades. Também destacaram a importância da defesa em profundidade e elogiaram as equipas do Cosmos pelas suas fortes medidas de segurança que poderiam tê-las salvado de riscos existenciais. Um patch binário foi lançado para corrigir a reentrada de tempo limite do IBC subjacente sem quebrar o consenso. Os colaboradores gastaram muito tempo e esforço avaliando as implicações de segurança das questões mencionadas.