Cosmos lapisan konsensus CometBFT mengungkapkan celah 0-hari berbahaya, yang dapat menyebabkan kebuntuan node validator

Berita ME News, 21 April (UTC+8), peneliti keamanan Doyeon Park mengungkapkan sebuah celah 0-day pada lapisan konsensus Cosmos (CometBFT), dengan skor CVSS 7.1 (tinggi). Celah ini berpotensi menyebabkan node ekosistem Cosmos yang mendukung lebih dari 8 miliar dolar aset mengalami stagnasi (Stall) selama tahap sinkronisasi blok, tetapi tidak secara langsung menyebabkan pencurian aset. Saat ini detail teknis terkait telah diungkapkan di GitHub, namun peneliti belum merilis kode serangan lengkap. Doyeon Park menyatakan bahwa karena tim Cosmos kurang bekerja sama dalam penanganan masalah ini, termasuk menolak melaporkan secara terbuka, menandai laporan HackerOne sebagai spam, dan melanggar standar internasional dalam menurunkan tingkat kerentanan terkait, dia memutuskan untuk melakukan pengungkapan publik setelah beberapa kali komunikasi yang gagal. Park memberikan “panduan bertahan hidup” kepada validator Cosmos, sangat menyarankan untuk menghindari restart node sebisa mungkin sebelum patch dirilis. Celah ini akan terpicu selama tahap sinkronisasi blok, dan jika node di-restart dan masuk ke proses sinkronisasi, terpapar ke node sesama yang berniat jahat dapat menyebabkan deadlock, membuatnya tidak dapat bergabung kembali ke jaringan. (Sumber: Foresight News)