Cosmos исправляет ‘критическую’ ошибку протокола IBC, экономя $ 126 млн
Разработчики Cosmos исправили “критическую” ошибку безопасности в своем протоколе межблочной связи (IBC), которая подвергла риску по меньшей мере 126 миллионов долларов, сообщает блокчейн-компания, которая в частном порядке уведомила Cosmos о проблеме.
“Мы конфиденциально раскрыли уязвимость через программу вознаграждения за ошибки Cosmos HackerOne, и теперь проблема исправлена”, – сообщили в Asymmetric Research 23 апреля.
“Никакого злонамеренного использования не было, и никакие средства не были потеряны”, – добавлено в нем.
Источник: Асимметричное исследование
Ошибка могла привести к повторной атаке, позволяющей хакеру чеканить бесконечные токены в цепочках, связанных с IBC, таких как Osmosis и другие децентрализованные финансовые экосистемы Cosmos.
“Мы считаем, что при использовании Osmosis могло быть украдено активов на сумму не менее 126 миллионов долларов. Однако ограничение скорости при использовании Osmosis снижает ущерб, который мог быть причинен”.
Ограничения скорости служат для предотвращения или, по крайней мере, смягчения атак, которые пытаются перегрузить систему, контролируя скорость отправки запросов.
Асимметричный отметил, что ошибка существовала в ibc-go – высокоуровневой реализации языка программирования IBC – с момента его запуска в 2021 году.
Однако эту ошибку можно было использовать только недавно, после того, как разработчики Cosmos запустили новое стороннее приложение под названием IBC middleware, которое позволяет токенам ICS20 (interchain token standard) пересекать цепочки.
“Эта проблема демонстрирует, насколько легко нарушить предположения о доверии и внедрить новые уязвимости путем добавления новых функций. Это также еще один пример важности углубленной защиты”, – подчеркнул Асимметричный.
“Эта уязвимость подчеркивает острую необходимость дополнительных исследований межцепочечных рисков безопасности для лучшей защиты мультицепочечной экосистемы”.
Ошибка была исправлена разработчиком Cosmos Карлосом Родригесом около трех недель назад, как следует из коммита на GitHub.
В октябре 2022 года в протоколе IBC была выявлена еще одна “критическая” уязвимость системы безопасности, которая повлияла на все цепочки, подключенные к IBC, но была исправлена до появления любого потенциального эксплойта.