CometBFTゼロデイ脆弱性の公開
研究者のDoyeon Parkが、80億ドルを保護するCosmosチェーンを停止させる可能性のある高危険度のCometBFTゼロデイ脆弱性を公開しました。この発表は、コア暗号インフラにおける開示のギャップを浮き彫りにしています。
脆弱性の影響とリスク
Parkによると、このバグはCVSS 7.1(高)に評価されており、Cosmosベースのチェーン全体のノードがブロック同期フェーズ中に停止する原因となる可能性があります。これにより、合わせて80億ドル以上のオンチェーン価値を保護するネットワークに影響を及ぼすことが懸念されています。
「この問題は直接的な資産の盗難を許さないが、複数のチェーンでのブロック生成の停止や遅延が、バリデーター、アプリケーション、ユーザーにとって深刻な運用上および経済的リスクである。」
協調的脆弱性開示の課題
Parkは、問題を解決するための標準的な協調的脆弱性開示チャネルを通じた試みがベンダーからの「協力の欠如」により失敗した後にのみ、公開することを選んだと付け加えました。
CometBFTは多くのCosmos-SDKベースのチェーンのコンセンサスを支えているため、ブロック同期中の停止は広範なエコシステムに波及し、影響を受けたネットワーク上に構築されたIBC転送からDeFiプロトコルまで、すべてに影響を及ぼす可能性があります。
資金とガバナンスへの影響
資金が即座に危険にさらされていなくても、持続的なノードの停止はガバナンスの緊急事態、スラッシングの議論、流動性の混乱を引き起こす可能性があります。特にコアルーティングハブとして機能するチェーンやドル建てのステーブルコインをホストするチェーンにおいては顕著です。
今後の展望
Parkの公開決定は、オープンソースの透明性と、現在数十億ドルの資産プールを保護するシステム内の重要なバグを静かに修正する必要性との間の緊張を浮き彫りにしています。この事件は、Cosmosのステークホルダーにとって、コンセンサス層の脆弱性に関する開示タイムラインの期待を明確にし、より正式なセキュリティ対応プロセスを求める声を加速させる可能性があります。
