Cosmos با رفع اشکال پروتکل IBC “بحرانی” 126 میلیون دلار صرفه جویی می کند.
Asymmetric Research گفت که IBC همیشه این اشکال را داشته است، اما اخیراً به دلیل پیشرفت در پایگاه کد پروتکل قابل بهره برداری شده است.
یک شرکت امنیتی بلاک چین که به طور خصوصی به Cosmos اطلاع داده است، می گوید که توسعه دهندگان Cosmos یک باگ امنیتی “بحرانی” را در پروتکل ارتباطات بین بلاک چین (IBC) خود برطرف کرده اند که حداقل 126 میلیون دلار را در معرض خطر قرار می دهد.
Asymmetric Research در 23 آوریل گفت: “ما به طور خصوصی این آسیب پذیری را از طریق برنامه Cosmos HackerOne Bug Bounty فاش کردیم و اکنون این مشکل اصلاح شده است.” این سازمان افزود: «هیچ بهرهبرداری مخربی صورت نگرفت و هیچ سرمایهای از بین نرفت.
این باگ میتوانست به یک حمله ورود مجدد اجازه دهد که به یک هکر اجازه دهد تا توکنهای بینهایتی را در زنجیرههای متصل به IBC مانند Osmosis و دیگر اکوسیستمهای مالی غیرمتمرکز در Cosmos ضرب کند.
ما معتقدیم که حداقل 126 میلیون دارایی در اسموزیس ممکن است به سرقت رفته باشد. با این حال، محدود کردن نرخ در اسمز، آسیبی که ممکن است ایجاد شود را کاهش می دهد.
محدودیتهای نرخ برای جلوگیری یا حداقل کاهش حملاتی که تلاش میکنند با کنترل نرخ درخواستها، سیستم را تحت تأثیر قرار دهند، عمل میکنند. Asymmetric اشاره کرد که این اشکال در ibc-go – یک پیاده سازی سطح بالای برنامه نویسی IBC – از زمان راه اندازی آن در سال 2021 وجود داشته است.
با این حال، این باگ اخیراً قابل بهرهبرداری شد، اما پس از آنکه توسعهدهندگان Cosmos یک برنامه شخص ثالث جدید به نام میانافزار IBC را راهاندازی کردند – که به توکنهای ICS20 (استاندارد توکن زنجیرهای) اجازه میدهد تا زنجیرهها را متقابل کنند.
«این موضوع نشان میدهد که شکستن فرضیات اعتماد و معرفی آسیبپذیریهای جدید با افزودن ویژگیها و عملکردهای جدید چقدر آسان است. این همچنین نمونه دیگری از اهمیت دفاع در عمق است.
این آسیبپذیری نیاز حیاتی به تحقیقات بیشتر در مورد خطرات امنیتی زنجیرهای متقابل برای محافظت بهتر از اکوسیستم چند زنجیرهای را برجسته میکند.
یک commit GitHub نشان میدهد که این اشکال توسط کارلوس رودریگز، طراح Cosmos، حدود سه هفته پیش اصلاح شد.
یکی دیگر از آسیبپذیریهای امنیتی «بحرانی» در پروتکل IBC در اکتبر ۲۰۲۲ شناسایی شد که همه زنجیرههای متصل به IBC را تحت تأثیر قرار داد اما قبل از هرگونه سوءاستفاده احتمالی اصلاح شد.