Cosmos vá một lỗi bảo mật tránh thiệt hại 126 triệu USD

Asymmetric Research cho biết, lỗi này đã xuất hiện từ trước trên IBC, nhưng trong quá trình nâng cấp cơ sở của giao thức, nó đã trở thành một lỗ hổng bảo mật có thể bị khai thác.
"Chúng tôi đã tiết lộ lỗ hổng này thông qua chương trình Cosmos HackerOne Bug Bounty và đã thành công khắc phục lỗ hổng nói trên".
Công ty này cũng bổ sung: "Lỗi bảo mật này vẫn chưa bị khai thác trục lợi và không có tổn thất nào được ghi nhận".

Lỗi này đã có thể dẫn đến một vụ khai thác đệ quy (reentrancy attack) cho phép hacker tạo ra vô số token trên các chuỗi kết nối IBC như Osmosis và các hệ sinh thái tài chính phi tập trung khác trên Cosmos.
"Chúng tôi tin rằng ít nhất 126 triệu USD tài sản có thể đã bị đánh cắp trên Osmosis. Tuy nhiên, việc giới hạn tốc độ yêu cầu trên Osmosis đã làm chậm lại thiệt hại có thể xảy ra."
Công ty bảo mật cũng lưu ý rằng lỗi đã tồn tại trong ibc-go, một triển khai ngôn ngữ lập trình cấp cao của IBC, kể từ khi nó được ra mắt vào năm 2021.

Đáng lưu ý là lỗi này trở nên “nghiêm trọng" sau khi các nhà phát triển của Cosmos ra mắt phần mềm trung gian IBC — cho phép token ICS20 (chuẩn token liên chuỗi) lưu hành liên chuỗi.
"Lỗ hổng này nhấn mạnh độ cấp bách trong việc nghiên cứu về các rủi ro bảo mật liên chuỗi để bảo vệ tốt hơn hệ sinh thái đa chuỗi."
Lỗi đã được nhà phát triển của Cosmos, Carlos Rodriguez, vá lại khoảng đầu tháng 04/2024, theo lịch sử commit trên GitHub.
Một lỗ hổng bảo mật "nghiêm trọng" khác đã được xác định trong giao thức IBC vào tháng 10/2022, ảnh hưởng đến tất cả các chuỗi kết nối IBC nhưng đã được vá kịp thời.
Đọc thêm: Lido thất thoát hơn 2.5 tỷ USD vào tay các đối thủ trong mảng staking