Исследователь по безопасности Doyeon Park 21 апреля публично раскрыл, что в слое консенсуса Cosmos CometBFT присутствует критическая уязвимость нулевого дня с уровнем опасности CVSS 7.1. Она может привести к атаке вредоносными пировыми узлами на этапе синхронизации блоков (BlockSync), в результате чего узел впадёт в состояние взаимной блокировки (deadlock), затрагивая сеть, которая защищает активы более чем на 8 млрд долларов.
Технический принцип уязвимости: манипуляция с высокой частотой заявлений о высоте, приводящая к бесконечной взаимной блокировке
Уязвимость находится в механизме BlockSync CometBFT. В нормальной ситуации при подключении пиров они сообщают увеличивающуюся самую актуальную высоту блока (latest). Однако в имеющемся коде не проверяется случай, когда пиру сначала сообщают высоту X, а затем — более низкую высоту Y; например, сначала сообщают 2000, а затем 1001. В этом случае узел A, находящийся в процессе синхронизации, будет ждать бесконечно, пытаясь догнать высоту 2000, даже если вредоносный узел отключится; целевая высота при этом не будет пересчитана, что приводит к бесконечной взаимной блокировке и невозможности повторного присоединения узла к сети. Затронутые версии: <= v0.38.16 и v1.0.0. Исправленные версии: v1.0.1 и v0.38.17.
Провал координированного раскрытия: полная временная шкала, как поставщик снизил CVE
Park следовал стандартному процессу координированного раскрытия уязвимостей (CVD), но в ходе процесса несколько раз возникали препятствия: 22 февраля он подал первую заявку, а поставщик потребовал оформить её в виде публичного GitHub issue, отказавшись публиковать информацию; 4 марта вторая заявка была помечена в HackerOne как спам; 6 марта поставщик самостоятельно снизил серьёзность уязвимости с «средней/высокой» до «информационной (влияние можно игнорировать)», а Park подал сетевой концептуальный proof-of-concept (PoC), чтобы опровергнуть это решение; 21 апреля было принято окончательное решение о публичном раскрытии.
Park также отметил, что ранее поставщик уже выполнял аналогичные действия по снижению для CVE-2025-24371 — уязвимости с тем же воздействием, что, как считается, нарушает общепринятые международные стандарты оценки уязвимостей, такие как CVSS.
Экстренные указания: какие действия должны предпринять валидаторы сейчас
До официального развёртывания патча Park рекомендует всем валидаторам Cosmos по возможности избегать перезапуска узлов. Узлы, уже находящиеся в режиме консенсуса, могут продолжать работать нормально; но если узел перезапустить и он войдёт в процесс синхронизации BlockSync, он может впасть в взаимную блокировку из-за атаки вредоносных узлов.
В качестве временной меры смягчения: если BlockSync зависает, можно выявить вредоносных пиров, отправляющих недействительные высоты, повысив уровень логов и подобным образом отслеживая сообщения, и затем заблокировать этот узел на уровне P2P. Самое фундаментальное решение — как можно скорее обновиться до уже исправленных версий v1.0.1 или v0.38.17.
Часто задаваемые вопросы
Можно ли напрямую украсть активы с помощью этой уязвимости в CometBFT?
Нет. Эта уязвимость не позволяет напрямую украсть активы или поставить под угрозу безопасность средств в сети блокчейна. Её влияние заключается в том, что узел впадает в взаимную блокировку на этапе синхронизации BlockSync, из-за чего он не может нормально участвовать в сети. Это может повлиять на способность валидаторов производить блоки и голосовать, тем самым снижая активность соответствующего блокчейна.
Как валидаторы могут определить, что узел подвергся атаке этой уязвимости?
Если узел зависает на этапе BlockSync, то остановка увеличения целевой высоты — один из возможных признаков. Можно повысить уровень логирования модуля BlockSync и проверить, есть ли записи о принимаемых сообщениях о необычных высотах от пиров, чтобы выявить потенциально вредоносные узлы, а затем заблокировать их на уровне P2P.
Соответствует ли стандартам снижение уязвимости поставщиком до «информационной»?
Оценка CVSS Park (7.1, высокая) основана на стандартной международной методике оценивания, и Park представил поддающийся проверке сетевой PoC, чтобы опровергнуть решение о снижении. Поставщик снизил оценку до «влияние можно игнорировать», и безопасностное сообщество считает, что это нарушает общепринятые международные стандарты оценки уязвимостей, такие как CVSS. Именно этот спор является одной из ключевых причин, по которым Park в итоге принял решение о публичном раскрытии.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Крипто-взломы подогревают дискуссию о токенизации Уолл-стрит
Высокопрофильные взломы в криптовалюте проверяют риски DeFi, но маловероятно что они сорвут токенизацию; институции предпочитают разрешенные блокчейны, тогда как более широкая токенизация должна взаимодействовать с DeFi; стейблкоины подвергаются проверке и могут столкнуться с регуляторным противодействием.
CryptoFrontier1ч назад
Volo Protocol потерял $3.5M в хаке на Sui, обязуется компенсировать убытки и заморозить средства хакера
Сообщение Gate News, 22 апреля — Volo Protocol, оператор доходных хранилищ на Sui, объявил вчера (21 апреля), что начал замораживать похищенные активы после эксплойта на $3.5 млн. Хакеры вывели WBTC, XAUm и USDG из Volo Vaults, что стало последним крупным инцидентом в сфере безопасности DeFi за исторически особенно тяжелый месяц для сектора.
GateNews5ч назад
Французская семья вынуждена перевести средства $820K в криптовалюте после вооруженного вторжения в дом
Сообщение Gate News, 22 апреля — Семью в Плоудальмезо, небольшом городе в Бретани, Франция, в понедельник (20 апреля) вторглись два вооруженных человека в масках, сообщает The Block. Троих взрослых связывали более трех часов и заставили перевести примерно 700,000 евро (около $820,000) в криптовалюте на кошельки, контролируемые злоумышленниками. Подозреваемые скрылись на автомобиле; позже транспортное средство было обнаружено полицией в Бресте, однако арестов пока не было.
Этот инцидент является частью более широкой тенденции во Франции. Французская судебная полиция зафиксировала более 40 похищений или грабежей, связанных с криптовалютой, за текущий год — по сравнению примерно с 30 случаями в 2025. Среди прежних жертв были родственники стримера, руководитель крупной криптобиржи и женщина-судья.
GateNews6ч назад
DOJ запустил процесс компенсаций для жертв мошенничества OneCoin: доступно $40M+ восстановленных активов
Сообщение Gate News, 22 апреля — Министерство юстиции США объявило о запуске процесса компенсаций для жертв схемы криптовалютного мошенничества OneCoin: более $40 миллиона восстановленных активов теперь доступны для распределения.
Мошенническая схема, действовавшая в период с 2014 по 2019 год под управлением Ружи
GateNews7ч назад
На создателей AI16Z и ELIZAOS подали в суд по обвинениям в мошенничестве на $2,6 млрд; падение токена на 99,9% от пика
Федеральный коллективный иск обвиняет AI16Z/ELIZAOS в криптомошенничестве на $2,6 млрд через фальшивые заявления об ИИ и обманный маркетинг, утверждая покровительство инсайдеров и инсценированную автономную систему; требует возмещения ущерба в соответствии с законами о защите прав потребителей.
Аннотация: В этом отчете описан поданный 21 апреля в SDNY федеральный коллективный иск, в котором обвиняются AI16Z и его переименование ELIZAOS в криптомошенничестве на $2,6 млрд с использованием фальшивых заявлений об ИИ и обманного маркетинга. В иске утверждается о созданной связке с Andreessen Horowitz и о неавтономной системе. Приводятся данные о пиковой оценке в начале 2025 года, об обвале на 99,9% и примерно о 4 000 убыточных кошельков; при этом инсайдеры получили ~40% новых токенов. Истцы просят возмещения ущерба и справедливой помощи (equitable relief) в соответствии с законами штатов Нью-Йорк и Калифорния о защите потребителей. Регуляторы в Корее и крупные биржи предупреждали или приостанавливали связанную торговлю.
GateNews8ч назад
SlowMist сообщает: активное вредоносное ПО macOS MacSync Stealer, нацеленное на пользователей криптовалют
SlowMist предупреждает о MacSync Stealer (v1.1.2) для macOS, который похищает кошельки, учетные данные, связки ключей и инфраструктурные ключи, используя поддельные запросы AppleScript и фиктивные ошибки «unsupported»; призывает к осторожности и вниманию к IOCs.
Аннотация: В этом отчете обобщается предупреждение SlowMist о MacSync Stealer (v1.1.2) — вредоносной программе-информационном похитителе для macOS, нацеленной на криптовалютные кошельки, учетные данные браузера, системные связки ключей и инфраструктурные ключи (SSH, AWS, Kubernetes). Она обманывает пользователей с помощью поддельных диалогов AppleScript, запрашивая пароли, и отображает видимые фиктивные сообщения «unsupported». SlowMist предоставляет IOCs своим клиентам и советует избегать непроверенных скриптов для macOS и сохранять бдительность в отношении необычных запросов пароля.
GateNews9ч назад
