Theo Blockworks, một cuộc điều tra gần đây của Asymetic Research đã phát hiện ra một lỗ hổng nghiêm trọng trong giao thức truyền thông liên chuỗi khối (IBC). Tiêu chuẩn này tạo điều kiện cho sự tương tác giữa các chuỗi vũ trụ riêng lẻ. Lỗ hổng này được tìm thấy cụ thể trong ibc-go, triển khai ngôn ngữ lập trình cấp cao Golang của giao thức IBC và nó ảnh hưởng đến phần mềm trung gian IBC dựa trên CosmWasm. Phần mềm trung gian, tương tự như nhiều giao thức bắc cầu, cho phép các gói được gửi từ blockchain này sang blockchain khác. Các gói này được lưu trữ dưới dạng cam kết trước khi được nhận và xóa đúng cách. Nếu không nhận được, mã thông báo sẽ được hoàn lại thông qua chức năng hết thời gian chờ.
Nghiên cứu bất đối xứng đã phát hiện ra rằng luồng giữa mô-đun xóa kiểm soát cam kết có thể được phát lại. Điều này có nghĩa là có thể khai thác lỗi và tạo ra vô số mã thông báo IBC. Nhiều chuỗi dễ bị ảnh hưởng bởi vấn đề này, bao gồm cả Osmosis, một trong những DEX chuỗi chéo lớn nhất trong hệ sinh thái Cosmos. Tuy nhiên, thiệt hại tiềm ẩn đã bị hạn chế do giới hạn tốc độ trên chuỗi.
Lỗ hổng này đã được tiết lộ riêng cho chương trình tiền thưởng lỗi Cosmos HackerOne và đã được giải quyết mà không có bất kỳ hoạt động khai thác độc hại nào. Nghiên cứu bất đối xứng nhấn mạnh sự dễ dàng mà các giả định về độ tin cậy có thể bị phá vỡ và các lỗ hổng mới xuất hiện bằng cách thêm các tính năng và chức năng mới. Họ cũng nhấn mạnh tầm quan trọng của việc phòng thủ theo chiều sâu và khen ngợi các đội Cosmos vì các biện pháp an ninh mạnh mẽ có thể cứu họ khỏi những rủi ro hiện hữu. Một bản vá nhị phân đã được phát hành để khắc phục lỗi thời gian chờ IBC cơ bản mà không phá vỡ sự đồng thuận. Những người đóng góp đã dành nhiều thời gian và công sức để đánh giá tác động bảo mật của các vấn đề được đề cập.
