Nhà nghiên cứu an ninh Doyeon Park đã công bố vào ngày 21 tháng 4 rằng trong lớp đồng thuận của Cosmos, CometBFT tồn tại một lỗ hổng zero-day mức độ nghiêm trọng cao theo CVSS là 7.1, có thể khiến các nút bị tấn công bởi các đối tác độc hại trong giai đoạn đồng bộ khối (BlockSync) và rơi vào tình trạng bế tắc (deadlock), ảnh hưởng đến một mạng lưới bảo vệ hơn 8 tỷ USD tài sản.
Nguyên lý kỹ thuật của lỗ hổng: nút độc hại báo cáo độ cao sai lệch nghiêm trọng gây bế tắc vô hạn
Lỗ hổng nằm trong cơ chế BlockSync của CometBFT. Trong điều kiện bình thường, khi các nút ngang hàng kết nối sẽ báo cáo độ cao khối mới nhất tăng dần (latest). Tuy nhiên, mã hiện có không xác thực trường hợp một nút ngang hàng báo độ cao X trước rồi sau đó báo độ cao thấp hơn Y—ví dụ: báo trước 2000 rồi báo tiếp 1001. Lúc này, nút A trong quá trình đồng bộ sẽ chờ vĩnh viễn để bắt kịp độ cao 2000, ngay cả khi nút độc hại bị ngắt kết nối; do đó, độ cao mục tiêu không được tính lại, dẫn đến nút rơi vào bế tắc vô hạn, không thể tham gia lại mạng. Các phiên bản bị ảnh hưởng là <= v0.38.16 và v1.0.0; các phiên bản đã được vá là v1.0.1 và v0.38.17.
Sự cố trong phối hợp công bố: dòng thời gian đầy đủ về việc nhà cung cấp hạ cấp CVE
Park đã tuân theo quy trình tiêu chuẩn phối hợp công bố lỗ hổng (CVD), nhưng trong quá trình đã nhiều lần gặp trở ngại: ngày 22 tháng 2 nộp báo cáo đầu tiên, nhà cung cấp yêu cầu nộp dưới dạng một GitHub issue công khai nhưng từ chối công bố rộng rãi; ngày 4 tháng 3 nộp báo cáo thứ hai bị HackerOne đánh dấu là thư rác; ngày 6 tháng 3 nhà cung cấp tự hạ mức độ nghiêm trọng của lỗ hổng từ “trung bình/cao” xuống “mang tính thông tin (tác động có thể bỏ qua)”, Park nộp một bằng chứng khái niệm (PoC) cấp mạng để phản biện; ngày 21 tháng 4 cuối cùng quyết định công bố rộng rãi.
Park cũng chỉ ra rằng trước đó nhà cung cấp đã thực hiện một thao tác hạ cấp tương tự đối với CVE-2025-24371, một lỗ hổng có cùng ảnh hưởng, và điều này bị cho là vi phạm các tiêu chuẩn đánh giá lỗ hổng quốc tế được công nhận như CVSS.
Hướng dẫn khẩn cấp: các hành động mà người xác thực cần thực hiện ngay bây giờ
Trước khi bản vá được triển khai chính thức, Park khuyến nghị tất cả các người xác thực Cosmos nếu có thể thì tránh khởi động lại nút. Các nút đang ở chế độ đồng thuận có thể tiếp tục vận hành bình thường; tuy nhiên nếu khởi động lại và đi vào quá trình đồng bộ BlockSync, có thể bị tấn công bởi các nút độc hại và rơi vào bế tắc.
Là biện pháp giảm thiểu tạm thời: nếu phát hiện BlockSync bị kẹt, có thể xác định các đối tác ngang hàng độc hại báo cáo độ cao không hợp lệ bằng cách tăng mức độ ghi log, và chặn nút đó ở lớp P2P. Giải pháp căn bản nhất là nhanh chóng nâng cấp lên phiên bản đã được vá v1.0.1 hoặc v0.38.17.
Câu hỏi thường gặp
Lỗ hổng này của CometBFT có thể trực tiếp đánh cắp tài sản không?
Không. Lỗ hổng này không thể trực tiếp đánh cắp tài sản hoặc gây nguy hiểm cho sự an toàn của tiền trên chuỗi. Tác động của nó là khiến các nút rơi vào bế tắc trong giai đoạn đồng bộ BlockSync, khiến các nút không thể tham gia mạng một cách bình thường; điều này có thể ảnh hưởng đến khả năng tạo khối và bỏ phiếu của người xác thực, từ đó ảnh hưởng đến tính hoạt động của chuỗi khối liên quan.
Người xác thực xác định nút có bị tấn công bởi lỗ hổng này hay chưa như thế nào?
Nếu nút bị kẹt trong giai đoạn BlockSync thì việc độ cao mục tiêu ngừng tăng là một dấu hiệu khả dĩ. Có thể tăng mức độ ghi log của mô-đun BlockSync để xem liệu có các bản ghi về các đối tác ngang hàng đã nhận được các thông điệp độ cao bất thường hay không, từ đó nhận diện các nút độc hại tiềm ẩn và chặn chúng ở lớp P2P.
Việc nhà cung cấp hạ cấp lỗ hổng thành “mang tính thông tin” có đúng tiêu chuẩn không?
Đánh giá CVSS của Park (7.1, mức độ cao) dựa trên phương pháp chấm điểm quốc tế tiêu chuẩn, và Park đã nộp một PoC cấp mạng có thể xác minh được để phản biện quyết định hạ cấp. Việc nhà cung cấp hạ nó xuống “tác động có thể bỏ qua” bị cộng đồng an ninh cho là vi phạm các tiêu chuẩn đánh giá lỗ hổng quốc tế được công nhận như CVSS; tranh cãi này cũng là một trong những lý do cốt lõi khiến Park cuối cùng quyết định công bố rộng rãi.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Dữ liệu Khách hàng Zondacrypto Được Chào Bán Trên Darknet với Giá 550 Euro và 0.6 BTC
Theo Bitcoin.pl, dữ liệu khách hàng từ sàn giao dịch Ba Lan Zondacrypto đã thất bại đã được rao bán trên darknet, với hai gói hàng được cung cấp. Gói nhỏ hơn, bao gồm địa chỉ email và dữ liệu nhận dạng cơ bản, được định giá khoảng 550 euro, trong khi bộ lớn hơn—bao gồm
GateNews1giờ trước
Aftermath Finance Bị Hack, $1,1M USDC Bị Đánh Cắp trong 36 Phút trên Mạng Sui
Theo Blockaid, giao thức hợp đồng vĩnh viễn của Aftermath Finance trên mạng Sui đã chịu một cuộc tấn công kéo dài, với khoảng 1,1 triệu USDC bị đánh cắp thông qua 11 giao dịch trong 36 phút. Lỗ hổng bắt nguồn từ một khiếm khuyết trong việc hạch toán phí của hệ thống thanh lý hợp đồng vĩnh viễn, khiến người tấn công có thể
GateNews2giờ trước
30 Plugin Độc Hại Trên ClawHub Ngụy Trang Như Công Cụ AI, Được Tải Xuống Hơn 9.800 Lần
Theo nghiên cứu của nhà nghiên cứu Manifold Ax Sharma, 30 plugin trên ClawHub được ngụy trang như các công cụ AI hợp pháp đã được tải xuống hơn 9.800 lần trong khi bí mật chuyển đổi các trợ lý AI của người dùng thành công nhân tiền mã hóa. Các plugin này, được đăng tải dưới tài khoản imaflytok, trông như các bộ lập lịch tác vụ thông thường a
GateNews2giờ trước
Ethereum Chịu 4 Cuộc Tấn Công Hợp Đồng Thông Minh Trong 48 Giờ, Tổn Thất Vượt 1,5 Triệu USD
Tin tức Gate, 29 tháng 4 — Mạng chính Ethereum đã trải qua bốn cuộc tấn công hợp đồng thông minh trong 48 giờ qua (27-29 tháng 4), dẫn đến tổng thiệt hại vượt 1,5 triệu USD, theo GoPlus Security.
Các sự việc bao gồm một cuộc tấn công vào hợp đồng tổng hợp Onchain gây thiệt hại 983.000 USD trong los
GateNews4giờ trước
ZetaChain báo cáo lỗ hổng nhắn tin liên chuỗi, thiệt hại $333,868 do cuộc tấn công ngày 24 tháng 4
Tin tức Gate, ngày 29 tháng 4 — ZetaChain đã phát hành báo cáo xem xét sự cố (post-mortem) xác nhận rằng cuộc tấn công ngày 24 tháng 4 đã khai thác các lỗ hổng trong pipeline nhắn tin liên chuỗi của mình. Sự cố đã dẫn đến tổng thiệt hại $333,868 (chủ yếu là USDC và USDT) qua chín giao dịch trên Ethereum, Arbitrum,
GateNews4giờ trước
Tòa Án Hoa Kỳ Tuyên Án Hậu Duệ Cartier 8 Năm Vì Kế Hoạch Rửa Tiền $470 Triệu Crypto
Tin tức Gate, ngày 29 tháng 4 — Một tòa án Hoa Kỳ đã tuyên án Maximilien de Hoop Cartier, một hậu duệ của gia tộc trang sức xa xỉ Cartier, 8 năm tù vì vận hành một sàn giao dịch tiền mã hóa phi được phép dưới hình thức giao dịch OTC. Công tố viên cho biết hoạt động này đã chuyển hơn $470 triệu tiền thu từ ma túy
GateNews4giờ trước
