Nhà nghiên cứu an ninh Doyeon Park đã công bố vào ngày 21 tháng 4 rằng trong lớp đồng thuận của Cosmos, CometBFT tồn tại một lỗ hổng zero-day mức độ nghiêm trọng cao theo CVSS là 7.1, có thể khiến các nút bị tấn công bởi các đối tác độc hại trong giai đoạn đồng bộ khối (BlockSync) và rơi vào tình trạng bế tắc (deadlock), ảnh hưởng đến một mạng lưới bảo vệ hơn 8 tỷ USD tài sản.
Nguyên lý kỹ thuật của lỗ hổng: nút độc hại báo cáo độ cao sai lệch nghiêm trọng gây bế tắc vô hạn
Lỗ hổng nằm trong cơ chế BlockSync của CometBFT. Trong điều kiện bình thường, khi các nút ngang hàng kết nối sẽ báo cáo độ cao khối mới nhất tăng dần (latest). Tuy nhiên, mã hiện có không xác thực trường hợp một nút ngang hàng báo độ cao X trước rồi sau đó báo độ cao thấp hơn Y—ví dụ: báo trước 2000 rồi báo tiếp 1001. Lúc này, nút A trong quá trình đồng bộ sẽ chờ vĩnh viễn để bắt kịp độ cao 2000, ngay cả khi nút độc hại bị ngắt kết nối; do đó, độ cao mục tiêu không được tính lại, dẫn đến nút rơi vào bế tắc vô hạn, không thể tham gia lại mạng. Các phiên bản bị ảnh hưởng là <= v0.38.16 và v1.0.0; các phiên bản đã được vá là v1.0.1 và v0.38.17.
Sự cố trong phối hợp công bố: dòng thời gian đầy đủ về việc nhà cung cấp hạ cấp CVE
Park đã tuân theo quy trình tiêu chuẩn phối hợp công bố lỗ hổng (CVD), nhưng trong quá trình đã nhiều lần gặp trở ngại: ngày 22 tháng 2 nộp báo cáo đầu tiên, nhà cung cấp yêu cầu nộp dưới dạng một GitHub issue công khai nhưng từ chối công bố rộng rãi; ngày 4 tháng 3 nộp báo cáo thứ hai bị HackerOne đánh dấu là thư rác; ngày 6 tháng 3 nhà cung cấp tự hạ mức độ nghiêm trọng của lỗ hổng từ “trung bình/cao” xuống “mang tính thông tin (tác động có thể bỏ qua)”, Park nộp một bằng chứng khái niệm (PoC) cấp mạng để phản biện; ngày 21 tháng 4 cuối cùng quyết định công bố rộng rãi.
Park cũng chỉ ra rằng trước đó nhà cung cấp đã thực hiện một thao tác hạ cấp tương tự đối với CVE-2025-24371, một lỗ hổng có cùng ảnh hưởng, và điều này bị cho là vi phạm các tiêu chuẩn đánh giá lỗ hổng quốc tế được công nhận như CVSS.
Hướng dẫn khẩn cấp: các hành động mà người xác thực cần thực hiện ngay bây giờ
Trước khi bản vá được triển khai chính thức, Park khuyến nghị tất cả các người xác thực Cosmos nếu có thể thì tránh khởi động lại nút. Các nút đang ở chế độ đồng thuận có thể tiếp tục vận hành bình thường; tuy nhiên nếu khởi động lại và đi vào quá trình đồng bộ BlockSync, có thể bị tấn công bởi các nút độc hại và rơi vào bế tắc.
Là biện pháp giảm thiểu tạm thời: nếu phát hiện BlockSync bị kẹt, có thể xác định các đối tác ngang hàng độc hại báo cáo độ cao không hợp lệ bằng cách tăng mức độ ghi log, và chặn nút đó ở lớp P2P. Giải pháp căn bản nhất là nhanh chóng nâng cấp lên phiên bản đã được vá v1.0.1 hoặc v0.38.17.
Câu hỏi thường gặp
Lỗ hổng này của CometBFT có thể trực tiếp đánh cắp tài sản không?
Không. Lỗ hổng này không thể trực tiếp đánh cắp tài sản hoặc gây nguy hiểm cho sự an toàn của tiền trên chuỗi. Tác động của nó là khiến các nút rơi vào bế tắc trong giai đoạn đồng bộ BlockSync, khiến các nút không thể tham gia mạng một cách bình thường; điều này có thể ảnh hưởng đến khả năng tạo khối và bỏ phiếu của người xác thực, từ đó ảnh hưởng đến tính hoạt động của chuỗi khối liên quan.
Người xác thực xác định nút có bị tấn công bởi lỗ hổng này hay chưa như thế nào?
Nếu nút bị kẹt trong giai đoạn BlockSync thì việc độ cao mục tiêu ngừng tăng là một dấu hiệu khả dĩ. Có thể tăng mức độ ghi log của mô-đun BlockSync để xem liệu có các bản ghi về các đối tác ngang hàng đã nhận được các thông điệp độ cao bất thường hay không, từ đó nhận diện các nút độc hại tiềm ẩn và chặn chúng ở lớp P2P.
Việc nhà cung cấp hạ cấp lỗ hổng thành “mang tính thông tin” có đúng tiêu chuẩn không?
Đánh giá CVSS của Park (7.1, mức độ cao) dựa trên phương pháp chấm điểm quốc tế tiêu chuẩn, và Park đã nộp một PoC cấp mạng có thể xác minh được để phản biện quyết định hạ cấp. Việc nhà cung cấp hạ nó xuống “tác động có thể bỏ qua” bị cộng đồng an ninh cho là vi phạm các tiêu chuẩn đánh giá lỗ hổng quốc tế được công nhận như CVSS; tranh cãi này cũng là một trong những lý do cốt lõi khiến Park cuối cùng quyết định công bố rộng rãi.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
SlowMist Cảnh Báo: Malware macOS MacSync Stealer Đang Hoạt Động nhắm vào Người Dùng Crypto
SlowMist cảnh báo về MacSync Stealer (v1.1.2) trên macOS, phần mềm đánh cắp thông tin trộm ví, thông tin đăng nhập, chuỗi khóa hệ thống và khóa hạ tầng, sử dụng các lời nhắc AppleScript giả mạo và các lỗi giả 'unsupported'; kêu gọi cảnh giác và chú ý các IOCs.
Tóm tắt: Báo cáo này tóm lược cảnh báo của SlowMist về MacSync Stealer (v1.1.2), một phần mềm đánh cắp thông tin trên macOS nhắm vào ví tiền mã hóa, thông tin đăng nhập trình duyệt, chuỗi khóa hệ thống và các khóa hạ tầng (SSH, AWS, Kubernetes). Nó lừa người dùng bằng các hộp thoại AppleScript giả mạo, yêu cầu nhập mật khẩu và hiển thị các thông báo giả 'unsupported' được thấy rõ. SlowMist cung cấp các IOCs cho khách hàng và khuyến cáo tránh chạy các script macOS chưa được xác minh cũng như luôn cảnh giác trước các lời nhắc mật khẩu bất thường.
GateNews36phút trước
Nhóm Lazarus Triều Tiên Triển Khai Phần Mềm Độc Hại Mach-O Man để Đánh Cắp Thông Tin Ví Crypto Từ Người Dùng macOS
Lazarus phát hành Mach-O Man cho macOS để đánh cắp dữ liệu keychain và thông tin đăng nhập ví, nhắm mục tiêu các giám đốc điều hành crypto thông qua các cửa sổ bật lên ClickFix và các cuộc họp Telegram bị xâm nhập.
Tóm tắt: Bài viết cho biết phần mềm độc hại Mach-O Man liên quan đến Lazarus nhắm mục tiêu macOS để trích xuất dữ liệu keychain, thông tin đăng nhập trình duyệt và phiên đăng nhập nhằm truy cập ví tiền điện tử và tài khoản sàn giao dịch. Việc phân phối dựa vào kỹ thuật lừa đảo xã hội ClickFix và các tài khoản Telegram bị xâm nhập, dẫn nạn nhân đến các liên kết họp giả. Bài viết liên kết chiến dịch này với vụ hack Kelp DAO ngày 20 tháng 4 và xác định TraderTraitor là tổ chức liên kết với Lazarus, đồng thời ghi nhận sự dịch chuyển rsETH trên nhiều blockchain thông qua chuẩn OFT của LayerZero.
GateNews1giờ trước
ZachXBT Cảnh Báo Tránh ATM Bitcoin Depot Với Mức Chênh Lệch Trên 44% Đối Với Bitcoin
ZachXBT cảnh báo các máy ATM Bitcoin Depot áp đặt mức phí chênh lệch cao—$25k tiền pháp định ở mức 108k USD/BTC so với ~$75k giá thị trường (khoảng 44%), dẫn đến ~ mức lỗ 7,5k USD trên 0,232 BTC; đồng thời cho biết đã có vụ vi phạm bảo mật trị giá 3,26 triệu USD.
Bài viết này tóm tắt các cảnh báo của ZachXBT về chính sách định giá của Bitcoin Depot và một vụ vi phạm bảo mật gần đây, nêu bật rủi ro đối với người dùng từ mức phí tăng cao và các lỗ hổng bảo mật.
GateNews3giờ trước
Giao thức Quyền Riêng Tư Umbra Tắt Frontend để Ngăn Kẻ Tấn Công Rửa Tiền Kelp Bị Đánh Cắp
Tin tức từ Gate, ngày 22 tháng 4 — Giao thức quyền riêng tư Umbra đã tắt trang web frontend của mình để ngăn kẻ tấn công sử dụng giao thức này nhằm chuyển các khoản tiền bị đánh cắp sau các cuộc tấn công gần đây, bao gồm vụ vi phạm giao thức Kelp dẫn đến thiệt hại vượt quá $280 triệu. Khoảng $800,000 trong số tiền bị đánh cắp đã được chuyển thông qua
GateNews4giờ trước
Mist 23pds Cảnh báo: Lazarus Group phát hành bộ công cụ macOS mới nhắm vào tiền mã hóa
Giám đốc an ninh thông tin cấp cao của Mù sương 23pds vào ngày 22 tháng 4 đã phát hành cảnh báo, cho biết nhóm tin tặc Bắc Triều Tiên Lazarus Group đã phát hành bộ công cụ phần mềm độc hại macOS nguyên sinh hoàn toàn mới mang tên “Mach-O Man”, được nhắm riêng vào ngành công nghiệp tiền điện tử và các giám đốc điều hành của doanh nghiệp giá trị cao.
MarketWhisper6giờ trước
