高危CometBFT零日漏洞的披露
研究员朴多妍(Doyeon Park)披露了一个高危的CometBFT零日漏洞,该漏洞可能导致Cosmos链停滞,影响超过80亿美元的资产。这一事件突显了核心加密基础设施中的信息披露缺口。
漏洞的影响与风险
CometBFT共识层中的一个关键零日漏洞已被安全研究员朴多妍公开披露,这引发了对核心区块链基础设施协调披露实践的新质疑。朴表示,该漏洞的CVSS评分为7.1(高),可能导致Cosmos生态系统中的节点在区块同步阶段停滞,从而潜在地干扰保障超过80亿美元链上价值的网络。
朴在X平台上写道:“我披露了Cosmos共识层(CometBFT)中的一个零日漏洞。这是一个CVSS 7.1(高)严重性的问题,可能导致Cosmos生态系统中的节点在区块同步阶段停滞,影响超过80亿美元的资产。然而,直接盗取资产并不在此之列。”
尽管如此,朴警告说,在多个链上停止或延迟区块生产仍然对验证者、应用程序和用户构成严重的操作和经济风险。研究员补充说,他们选择在尝试通过标准的协调漏洞披露渠道解决问题后,因供应商缺乏合作而公开披露该漏洞。
生态系统的连锁反应
由于CometBFT为许多基于Cosmos-SDK的链提供共识支持,因此在区块同步期间的停滞可能会在更广泛的生态系统中产生连锁反应,影响从IBC转账到建立在受影响网络上的DeFi协议等各个方面。
即使没有资金面临直接风险,持续的节点停滞也可能引发治理紧急情况、削减辩论和流动性中断,尤其是在作为核心路由中心或承载美元计价稳定币的链上。
开源透明性与安全性之间的紧张关系
朴的公开决定突显了开源透明性与在如今保障数十亿美元资产池的系统中悄然修补关键漏洞之间的紧张关系。对于Cosmos的利益相关者而言,此事件可能加速对更正式的安全响应流程和更清晰的共识层漏洞披露时间表的呼声。
