Разработчики Cosmos исправили «критическую» ошибку безопасности в своем протоколе межблокчейн-коммуникаций (IBC), которая поставила под угрозу как минимум 126 миллионов долларов, сообщает фирма, занимающаяся безопасностью блокчейн, которая в частном порядке уведомила Cosmos о проблеме.
«Мы конфиденциально раскрыли уязвимость через программу Cosmos HackerOne Bug Bounty, и теперь проблема исправлена», — заявили в Asymmetric Research 23 апреля.
«Никакой злонамеренной эксплуатации не было, и никакие средства не были потеряны», — добавили в ведомстве.
Эта ошибка могла привести к повторной атаке, позволяющей хакеру чеканить бесконечное количество токенов в цепочках, связанных с IBC, таких как Osmosis и других децентрализованных финансовых экосистемах на Cosmos.
«Мы считаем, что по меньшей мере 126 миллионов активов могли быть украдены с помощью Osmosis. Однако ограничение скорости осмоса замедляет возможный ущерб».
Ограничения скорости служат для предотвращения или, по крайней мере, смягчения атак, которые пытаются перегрузить систему, путем контроля скорости выполнения запросов.
В Asymmetric отметили, что ошибка существует в ibc-go — реализации IBC на языке программирования высокого уровня — с момента его запуска в 2021 году.
Однако эта ошибка стала пригодной для использования только недавно, после того как разработчики Cosmos запустили новое стороннее приложение под названием промежуточное программное обеспечение IBC, которое позволяет токенам ICS20 (стандарт межцепочных токенов) пересекать цепочки.
Связанный: Cosmo Hub разрешил снизить инфляцию ATOM для повышения безопасности
«Эта проблема демонстрирует, насколько легко нарушить предположения о доверии и создать новые уязвимости, добавляя новые функции и возможности. Это также еще один пример важности глубокоэшелонированной защиты», — подчеркнули в Asymmetric.
«Эта уязвимость подчеркивает острую необходимость дополнительных исследований межсетевых рисков безопасности для лучшей защиты мультичейн-экосистемы».
Ошибка была исправлена разработчиком Cosmos Карлосом Родригесом около трёх недель назад, как видно из коммита GitHub.
В октябре 2022 года в протоколе IBC была обнаружена еще одна «критическая» уязвимость безопасности, которая затронула все цепочки, подключенные к IBC, но была исправлена до появления любого потенциального эксплойта.
