За даними Blockworks, нещодавнє розслідування Asymmetric Research виявило критичну вразливість у протоколі зв’язку між блоками (IBC). Цей стандарт полегшує взаємодію між окремими ланцюжками космосу. Уразливість була виявлена в ibc-go, високорівневій реалізації протоколу IBC на мові програмування Golang, і вона вплинула на проміжне програмне забезпечення IBC на основі CosmWasm. Проміжне програмне забезпечення, подібне до багатьох мостових протоколів, дозволяє надсилати пакети з одного блокчейну в інший. Ці пакети зберігаються як зобов’язання перед належним отриманням і видаленням. Якщо токени не отримані, кошти повертаються за допомогою функції тайм-ауту.
Asymmetric Research виявило, що потік між модулем, який видаляє контроль зобов’язань, може бути відтворений повторно. Це означало, що можна було використати помилку та створити нескінченну кількість токенів IBC. Кілька ланцюгів були вразливі до цієї проблеми, включно з Osmosis, одним із найбільших крос-ланцюгів DEX в екосистемі Cosmos. Однак потенційна шкода була обмежена через обмеження швидкості в ланцюзі.
Уразливість була приватно розкрита програмі винагород за помилки Cosmos HackerOne і була усунена без будь-якої зловмисної експлуатації. Asymmetric Research підкреслює легкість, з якою можна порушити припущення про довіру та створити нові вразливості шляхом додавання нових функцій і функцій. Вони також підкреслили важливість поглибленого захисту та похвалили команди Cosmos за їх суворі заходи безпеки, які могли б уберегти їх від ризиків для існування. Було випущено двійковий патч, щоб виправити основне повторне входження тайм-ауту IBC без порушення консенсусу. Автори витратили багато часу та зусиль на оцінку наслідків згаданих проблем для безпеки.
