Channel logo
MarginATM
Save
Copy link

Cosmos vá một lỗi bảo mật tránh thiệt hại 126 triệu USD

Đội ngũ phát triển của Cosmos đã khắc phục một lỗi bảo mật "nghiêm trọng" trong giao thức IBC của mình. Số tài sản tối thiểu bị ảnh hưởng bởi lỗ hổng bảo mật này có thể lên tới 126 triệu USD.
Avatar
Dyan
Published Apr 24 2024
Updated Apr 24 2024
2 min read
lỗi bảo mật cosmos

Asymmetric Research cho biết, lỗi này đã xuất hiện từ trước trên IBC, nhưng trong quá trình nâng cấp cơ sở của giao thức, nó đã trở thành một lỗ hổng bảo mật có thể bị khai thác.

"Chúng tôi đã tiết lộ lỗ hổng này thông qua chương trình Cosmos HackerOne Bug Bounty và đã thành công khắc phục lỗ hổng nói trên".
Asymmetric Research tuyên bố vào ngày 23/04/2024.

Công ty này cũng bổ sung: "Lỗi bảo mật này vẫn chưa bị khai thác trục lợi và không có tổn thất nào được ghi nhận".

asymmetric research nói về lỗi bảo mật cosmos
Nguồn: Asymmetric Research

Lỗi này đã có thể dẫn đến một vụ khai thác đệ quy (reentrancy attack) cho phép hacker tạo ra vô số token trên các chuỗi kết nối IBC như Osmosis và các hệ sinh thái tài chính phi tập trung khác trên Cosmos.

"Chúng tôi tin rằng ít nhất 126 triệu USD tài sản có thể đã bị đánh cắp trên Osmosis. Tuy nhiên, việc giới hạn tốc độ yêu cầu trên Osmosis đã làm chậm lại thiệt hại có thể xảy ra."
Asymmetric Research

Công ty bảo mật cũng lưu ý rằng lỗi đã tồn tại trong ibc-go, một triển khai ngôn ngữ lập trình cấp cao của IBC, kể từ khi nó được ra mắt vào năm 2021.

advertising
ibc go cosmos
Triển khai ngôn ngữ lập trình ibc-go của Cosmos trên GitHub. Nguồn: GitHub

Đáng lưu ý là lỗi này trở nên “nghiêm trọng" sau khi các nhà phát triển của Cosmos ra mắt phần mềm trung gian IBC — cho phép token ICS20 (chuẩn token liên chuỗi) lưu hành liên chuỗi.

"Lỗ hổng này nhấn mạnh độ cấp bách trong việc nghiên cứu về các rủi ro bảo mật liên chuỗi để bảo vệ tốt hơn hệ sinh thái đa chuỗi."
Chuyên gia Cosmos chia sẻ

Lỗi đã được nhà phát triển của Cosmos, Carlos Rodriguez, vá lại khoảng đầu tháng 04/2024, theo lịch sử commit trên GitHub.

Một lỗ hổng bảo mật "nghiêm trọng" khác đã được xác định trong giao thức IBC vào tháng 10/2022, ảnh hưởng đến tất cả các chuỗi kết nối IBC nhưng đã được vá kịp thời.

Đọc thêm: Lido thất thoát hơn 2.5 tỷ USD vào tay các đối thủ trong mảng staking

RELEVANT SERIES