Isang kamakailang post sa blog ng Asymmetric Research ang nagsiwalat na mayroong kritikal na kahinaan na nakaapekto sa inter-blockchain communication (IBC) protocol — isang pamantayan na nagbibigay-daan sa pakikipag-ugnayan sa mga indibidwal na cosmos chain.
Ang kahinaan na ito ay partikular na natagpuan sa ibc-go, ang Golang high-level programming language na pagpapatupad ng IBC protocol, at apektadong CosmWasm-based na IBC middleware.
Ang IBC middleware ay nilikha upang paganahin ang pagsasama ng ICS20 sa iba pang mga protocol ng IBC. Katulad ng maraming bridging protocol, ang middleware ay nagbibigay-daan sa mga packet na maipadala mula sa isang blockchain patungo sa isa pa. Ang mga packet na ito ay iniimbak bilang mga pangako bago maayos na matanggap at matanggal. Kung hindi natanggap ang mga ito, ire-refund ang mga token sa pamamagitan ng paggana ng timeout.
Magbasa nang higit pa: Ikinokonekta ng Picasso ang Ethereum sa Cosmos IBC
Nalaman ng Asymmetric Research na maaaring i-replay ang daloy sa pagitan ng module na nagde-delete ng commitment control, na nangangahulugang posibleng i-replay ang bug at pagsamantalahan ang walang katapusang bilang ng mga IBC token.
Maraming chain ang bulnerable sa isyu, kung saan ang Osmosis, isa sa pinakamalaking cross-chain DEX sa Cosmos ecosystem, ang pinakamalaking chain na maaaring maapektuhan. Gayunpaman, dahil sa paglilimita ng rate sa chain, limitado ang pinsalang posibleng idulot ng bug.
Ayon sa Asymmetric Research, ang kahinaan ay pribadong ibinunyag sa Cosmos HackerOne bug bounty program, at ang isyu mismo ay nalutas nang walang anumang malisyosong pagsasamantala.
Magbasa nang higit pa: Ang mga kapaki-pakinabang na hacker ay nakakuha ng higit sa $640k sa loob ng 1 taon gamit ang mga pabuya ng crypto bug
“Ipinapakita ng isyung ito kung gaano kadaling sirain ang mga pagpapalagay ng tiwala at magpakilala ng mga bagong kahinaan sa pamamagitan ng pagdaragdag ng mga bagong feature at functionality. Isa rin itong halimbawa ng kahalagahan ng depensa-sa-depth,” isinulat ng Asymmetric Research sa isang post sa blog.
Partikular na binanggit ng pananaliksik na ang mga koponan ng Cosmos ay may matatag na mga hakbang sa seguridad na maaaring magligtas sa kanila mula sa mga umiiral na panganib.
"Ang isang binary patch ay inilabas upang ayusin ang pinagbabatayan na IBC timeout reentrancy nang hindi sinisira ang pinagkasunduan. Ang mga nag-aambag ay gumugol ng maraming oras at pagsisikap sa pagtatasa ng mga implikasyon sa seguridad ng mga nabanggit na isyu, "isinulat ng Asymmetric Research.
Simulan ang iyong araw gamit ang mga nangungunang crypto insight mula kina David Canellis at Katherine Ross. Mag-subscribe sa newsletter ng Empire.
Pinagmulan: https://blockworks.co/news/ibc-close-call-with-critical-vulnerability