Сообщение Gate News, 22 апреля — Исследователь по безопасности Доён Парк сообщил о критической уязвимости с оценкой CVSS 7.1 zero-day в консенсусном слое Cosmos CometBFT, которая может приводить к зависанию узлов во время синхронизации блоков, потенциально затрагивая сети, обеспечивающие более $8 миллиардов долларов США активов. Уязвимость не может напрямую похищать средства.

Парк запустил процесс скоординированного раскрытия 22 февраля, но столкнулся с сопротивлением со стороны вендора, который попросил подать публичную issue на GitHub, при этом отказавшись от публичного раскрытия. 4 марта HackerOne пометил его второй отчет как спам. 6 марта вендор произвольно даунгрейдил связанную уязвимость (CVE-2025-24371) до уровня “informational”, списав в сторону международные стандарты. Парк представил сетевой proof-of-concept в противовес этому решению до публичного раскрытия изъяна 21 апреля.

Парк рекомендует валидаторам Cosmos избегать перезапуска узлов до выхода патча. Узлы, уже работающие в режиме консенсуса, могут продолжать функционирование, но перезапуск и переход в синхронизацию могут сделать их уязвимыми для атак со стороны вредоносных пиров, потенциально приводя к взаимной блокировке.

Посмотреть источник

Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к Отказу от ответственности.