據 Blockworks 報道,Asymmetric Research 最近的一項調查發現了區塊鏈間通信 (IBC) 協議中的一個嚴重漏洞。該標準促進了各個 Cosmos 鏈之間的交互。該漏洞具體出現在 IBC 協議的 Golang 高級編程語言實現 ibc-go 中,它影響了基於 CosmWasm 的 IBC 中間件。該中間件與許多橋接協議類似,允許將數據包從一個區塊鏈發送到另一個區塊鏈。這些數據包在被正確接收和刪除之前被存儲爲承諾。如果沒有收到,代幣將通過超時功能退還。
Asymmetric Research 發現刪除承諾控制的模塊之間的流程可以重放。這意味着可以利用該漏洞並生成無限數量的 IBC 代幣。多個鏈都容易受到此問題的影響,包括 Cosmos 生態系統中最大的跨鏈 DEX 之一 Osmosis。然而,由於鏈上的速率限制,潛在損害有限。
該漏洞已私下披露給 Cosmos HackerOne 漏洞賞金計劃,並且已得到解決,沒有遭到任何惡意利用。Asymmetric Research 強調,信任假設很容易被打破,並且通過添加新特性和功能引入了新的漏洞。他們還強調了縱深防禦的重要性,並讚揚了 Cosmos 團隊採取的強大安全措施,這些措施本可以使他們免於生存風險。發佈了一個二進制補丁來修復底層 IBC 超時重入問題,而不會破壞共識。貢獻者花費了大量時間和精力來評估上述問題的安全影響。
