Gate News 訊息,4 月 22 日——安全研究員 Doyeon Park 揭露了 Cosmos 共識層 CometBFT 中一個關鍵 CVSS 7.1 零日漏洞,可能導致節點在區塊同步期間凍結,進而可能影響保護 $8 十億元以上資產的網路。該漏洞無法直接竊取資金。
Park 於 2 月 22 日啟動協調披露流程,但遭到廠商的抵制;廠商要求提交公開的 GitHub 問題,卻拒絕進行公開披露。3 月 4 日,HackerOne 將他的第二份通報標記為垃圾訊息。3 月 6 日,廠商將相關漏洞 (CVE-2025-24371) 任意降級為「資訊等級」,並駁回國際標準。Park 在 4 月 21 日公開披露該缺陷之前,提交了網路層級的概念驗證以反制這一決定。
Park 建議 Cosmos 的驗證者在發布修補程式前避免重啟節點。已處於共識模式的節點可持續運作,但重啟並進入同步可能使其遭受惡意對等方的攻擊,並可能導致死鎖。
