Kerentanan Zero-Day pada CometBFT
Peneliti Doyeon Park baru-baru ini mengungkapkan adanya kerentanan zero-day pada CometBFT dengan tingkat keparahan tinggi, yang dapat menghentikan jaringan Cosmos yang mengamankan lebih dari $8 miliar. Pengungkapan ini menyoroti celah dalam infrastruktur inti cryptocurrency.
Detail Kerentanan
Kerentanan zero-day yang kritis di lapisan konsensus CometBFT Cosmos telah diumumkan secara publik oleh peneliti keamanan Doyeon Park, yang menimbulkan pertanyaan baru mengenai praktik pengungkapan terkoordinasi dalam infrastruktur blockchain. Park menyatakan bahwa bug tersebut, yang dinilai dengan skor CVSS 7.1 (Tinggi), dapat menyebabkan node di seluruh jaringan berbasis Cosmos terhenti selama fase sinkronisasi blok, berpotensi mengganggu jaringan yang bersama-sama mengamankan lebih dari $8 miliar dalam nilai on-chain.
“Saya mengungkapkan kerentanan zero-day di lapisan konsensus Cosmos (CometBFT). Ini adalah masalah dengan tingkat keparahan CVSS 7.1 (Tinggi) yang dapat menyebabkan node di ekosistem Cosmos—yang mengamankan lebih dari $8 miliar dalam aset—terhenti selama fase sinkronisasi blok. Namun, pencurian aset secara langsung tidak mungkin terjadi…”
Risiko dan Dampak
Dalam sebuah posting di X, Park menulis bahwa masalah ini tidak memungkinkan “pencurian aset secara langsung,” tetapi memperingatkan bahwa penghentian atau penundaan produksi blok di berbagai jaringan tetap menjadi risiko operasional dan ekonomi yang serius bagi validator, aplikasi, dan pengguna. Park menambahkan bahwa mereka memilih untuk mengungkapkan eksploitasi ini secara publik setelah upaya untuk menyelesaikan masalah melalui saluran pengungkapan kerentanan terkoordinasi standar gagal karena “kurangnya kerjasama” dari pihak vendor.
Mengingat CometBFT menjadi dasar konsensus bagi banyak jaringan berbasis Cosmos-SDK, penghentian selama sinkronisasi blok dapat berdampak luas pada ekosistem, mempengaruhi segala sesuatu mulai dari transfer IBC hingga protokol DeFi yang dibangun di atas jaringan yang terkena dampak. Meskipun tidak ada dana yang berisiko langsung, penghentian node yang berkepanjangan dapat memicu keadaan darurat tata kelola, perdebatan pemotongan, dan gangguan likuiditas, terutama pada jaringan yang berfungsi sebagai pusat routing utama atau menjadi tuan rumah stablecoin yang dinyatakan dalam dolar.
Transparansi vs. Keamanan
Keputusan Park untuk mengungkapkan masalah ini secara publik menyoroti ketegangan antara transparansi sumber terbuka dan kebutuhan untuk memperbaiki bug kritis secara diam-diam dalam sistem yang kini mengamankan kumpulan aset bernilai miliaran dolar. Bagi para pemangku kepentingan di Cosmos, insiden ini kemungkinan akan mempercepat seruan untuk proses respons keamanan yang lebih formal dan harapan yang lebih jelas mengenai garis waktu pengungkapan untuk kerentanan di lapisan konsensus.
