Asymmetry Research 最近发表的一篇博客文章透露,存在一个影响区块链间通信(IBC)协议的严重漏洞,该协议是一种支持各个 Cosmos 链之间交互的标准。
该漏洞专门在 IBC 协议的 Golang 高级编程语言实现 ibc-go 中发现,并影响基于 CosmWasm 的 IBC 中间件。
IBC 中间件的创建是为了实现 ICS20 与其他 IBC 协议的集成。与许多桥接协议类似,中间件允许数据包从一个区块链发送到另一个区块链。这些数据包在被正确接收和删除之前被存储为承诺。如果没有收到,代币将通过超时功能退还。
了解更多: Picasso 将以太坊连接到 Cosmos IBC
非对称研究发现,删除承诺控制的模块之间的流程可以重放,这意味着可以重放错误并利用无限数量的 IBC 代币。
多个链都容易受到此问题的影响,Cosmos 生态系统中最大的跨链 DEX 之一 Osmosis 是可能受到影响的最大链。然而,由于链上的速率限制,该错误可能造成的损害是有限的。
据 Asymmetry Research 称,该漏洞已私下向 Cosmos HackerOne 漏洞赏金计划披露,并且问题本身已得到解决,没有任何恶意利用。
了解更多: 乐于助人的黑客在一年内通过加密漏洞赏金净赚超过 640 万美元
“这个问题表明,通过添加新特性和功能来打破信任假设并引入新漏洞是多么容易。这也是纵深防御重要性的另一个例子,”非对称研究在一篇博客文章中写道。
该研究特别指出,Cosmos 团队采取了强有力的安全措施,可以使他们免受生存风险的影响。
“发布了一个二进制补丁来修复潜在的 IBC 超时重入问题,而不会破坏共识。贡献者花费了大量的时间和精力来评估上述问题的安全影响,”非对称研究写道。
以 David Canellis 和 Katherine Ross 的顶级加密货币见解开始新的一天。订阅帝国时事通讯。
来源:https://blockworks.co/news/ibc-close-call-with-ritic-vulnerability