Cosmos виправляє «критичну» помилку протоколу IBC, заощаджуючи 126 мільйонів доларів

Розробники Cosmos виправили «критичну» помилку безпеки в протоколі Inter-Blockchain Communication (IBC), яка поставила під загрозу щонайменше 126 мільйонів доларів, повідомляє фірма безпеки блокчейну, яка приватно повідомила Cosmos про проблему.

«Ми приватно оприлюднили вразливість через програму Cosmos HackerOne Bug Bounty, і зараз проблему виправлено», — заявили в Asymmetric Research 23 квітня.

«Жодного зловмисного використання не було, і жодних коштів не було втрачено», — додали в ньому.

Помилка могла призвести до атаки повторного входу, яка дозволила хакеру карбувати нескінченну кількість токенів у мережах, підключених до IBC, таких як Osmosis та інших децентралізованих фінансових екосистемах на Cosmos.

«Ми вважаємо, що щонайменше 126 мільйонів активів могли бути викрадені на Osmosis. Однак обмеження швидкості на Osmosis сповільнює шкоду, яка може бути завдана».

Обмеження швидкості служать для запобігання або принаймні пом’якшення атак, які намагаються перевантажити систему, контролюючи швидкість, з якою надходять запити.

Asymmetric зазначив, що помилка існувала в ibc-go — високорівневій реалізації мови програмування IBC — з моменту її запуску в 2021 році.

Однак цю помилку можна було використати лише нещодавно, після того як розробники Cosmos запустили нову сторонню програму під назвою проміжне програмне забезпечення IBC, яка дозволяє токенам ICS20 (стандарт міжланцюгових токенів) перетинати ланцюжки.

За темою: Cosmos Hub дозволяє скоротити інфляцію ATOM для підвищення безпеки

«Ця проблема демонструє, як легко порушити припущення про довіру та створити нові вразливості, додавши нові функції та функції. Це також ще один приклад важливості глибокої оборони», – підкреслив Asymmetric.

«Ця вразливість підкреслює критичну потребу в додаткових дослідженнях міжланцюжкових ризиків безпеки, щоб краще захистити багатоланцюгову екосистему».

Помилка була виправлена ​​розробником Cosmos Карлосом Родрігесом близько трьох тижнів тому, як показує комміт GitHub.

У жовтні 2022 року в протоколі IBC було виявлено ще одну «критичну» вразливість безпеки, яка вплинула на всі ланцюги, підключені до IBC, але була виправлена ​​перед будь-яким потенційним експлойтом.