Cosmos vá lỗi giao thức IBC 'quan trọng', tiết kiệm 126 triệu đô la
IBC luôn tồn tại lỗi nhưng chỉ mới đây mới trở nên có thể khai thác do sự phát triển trong mã nguồn giao thức, Asymmetric Research nói.
Nhà phát triển Cosmos đã sửa một lỗi bảo mật "quan trọng" trong giao thức Liên Kết Giữa Blockchain (IBC) của mình, đe dự rằng ít nhất 126 triệu đô la bị đe dọa, một công ty bảo mật blockchain đã thông báo một cách riêng tư cho Cosmos về vấn đề này.
“Chúng tôi đã tiết lộ lỗi một cách riêng thông qua chương trình thưởng lỗi Cosmos HackerOne Bug và hiện vấn đề đã được khắc phục,” Asymmetric Research cho biết vào ngày 23 tháng 4.
“Không có khai thác độc hại nào xảy ra và không có quỹ nào bị mất,” họ thêm.
Lỗi này có thể đã cho phép một cuộc tấn công tái nhập cho phép một hacker tạo ra số lượng token vô hạn trên các chuỗi kết nối với IBC như Osmosis và các hệ sinh thái tài chính phi tập trung khác trên Cosmos.
“Chúng tôi tin rằng ít nhất 126 triệu đô la trong tài sản có thể đã bị đánh cắp trên Osmosis. Tuy nhiên, việc hạn chế tốc độ trên Osmosis làm chậm quá trình tổn thất có thể gây ra.”
Hạn chế tốc độ phục vụ để ngăn chặn hoặc ít nhất là giảm thiểu các cuộc tấn công cố gắng áp đảo một hệ thống bằng cách kiểm soát tốc độ yêu cầu được thực hiện.
Asymmetric cho biết lỗi đã tồn tại trong ibc-go - một bản triển khai ngôn ngữ lập trình cấp cao của IBC - kể từ khi ra mắt vào năm 2021.
Tuy nhiên, lỗi chỉ mới đây mới trở nên có thể khai thác sau khi các nhà phát triển Cosmos ra mắt một ứng dụng của bên thứ ba mới gọi là IBC middleware - cho phép các token ICS20 (tiêu chuẩn token liên chuỗi) chuyển qua các chuỗi.
Liên quan: Cosmos Hub chấp nhận giảm lạm phát ATOM để tăng cường an ninh
“Vấn đề này minh họa cách làm dễ dàng để phá vỡ giả định tin cậy và giới thiệu các lỗ hổng mới bằng cách thêm tính năng và chức năng mới. Đây cũng là một ví dụ khác về sự quan trọng của phòng thủ ở đa chiều,” Asymmetric nhấn mạnh.
“Lỗ hổng này làm nổi bật nhu cầu cần thiết cho nhiều nghiên cứu hơn về các nguy cơ an ninh liên chuỗi để bảo vệ hệ sinh thái đa chuỗi một cách tốt hơn."
Lỗi đã được vá bởi nhà phát triển Cosmos Carlos Rodriguez khoảng ba tuần trước, một GitHub commit cho thấy.
Một lỗi bảo mật "quan trọng" khác đã được xác định trong giao thức IBC vào tháng 10 năm 2022, ảnh hưởng đến tất cả các chuỗi kết nối với IBC nhưng đã được vá trước khi khai thác tiềm năng.
Tạp chí:Các DAO có quá nhiều phản ứng tích cực và không thực tế? Bài học từ những trận chiến đầu tiên
Nguồn: Cointelegraph
