La falla de seguridad en Cosmos SDK puede permitir ataques DDoS

La firma de seguridad de Blockchain, Oak Security, ha generado preocupaciones sobre una vulnerabilidad en el Kit de desarrollo de software de la cadena de Cosmos (SDK) que podría conducir a un ataque de denegación de servicio distribuido (DDoS) en la red. En una publicación media, dos de los investigadores de la firma, Edward Kotysh y Christian Vari, explicaron por qué este es un riesgo importante.

Según los investigadores , la vulnerabilidad radica en el hecho de que las funciones Beginblock y el bloqueo final no están sujetas a la medición de gas. Esto es por diseño, ya que permite a los desarrolladores tener un tiempo de cálculo gratuito, ya que estas dos funciones no necesariamente afectan las transacciones de los usuarios.

Sin embargo, los expertos en seguridad advirtieron que lo que estaba destinado a ser un margen menor para los desarrolladores podría causar daños significativos a las redes basadas en Cosmosde varias maneras. Estos incluyen causar congestión de la red, afectar a los validadores o incluso conducir a una interrupción completa.

Ellos han dicho:

"Esta libertad puede ser una espada de doble filo, y puede abrir una caja de vulnerabilidades potenciales de Pandora. El problema principal es que sin límites de gas, el código mal optimizado o malicioso en Beginblock y el bloqueo final realmente pueden causar estragos".

Los investigadores probaron sus teorías sobre el impacto potencial de la vulnerabilidad al realizar experimentos. En uno de los experimentos, introdujeron retrasos aleatorios en la función Beginblock a varias alturas de bloque, con retrasos que van desde cinco segundos a un minuto.

A partir de los experimentos, los expertos confirmaron que los retrasos condujeron a una congestión sustancial en la red, desacelerando su progresión y aumentando el tiempo necesario para completar los bloques. También afectó a los validadores, y varios de ellos no lograron firmar bloques en los momentos requeridos y algunas fases de votación faltantes por completo.

Como era de esperar, el número limitado de validadores disponibles para firmar transacciones (menos de dos tercios) significaba que la cadena de prueba experimentaba interrupciones temporales. Los investigadores señalaron que esto podría dar como resultado una interrupción completa en la propia Netnet, donde hay varias transacciones que ocurren a la vez que deben finalizarse.

Oak Security recomienda soluciones para desarrolladores

Mientras tanto, los expertos en seguridad han recomendado soluciones para arreglar la vulnerabilidad antes de que un mal actor lo explote. Según ellos, es necesario implementar límites de cálculo estrictos para que incluso cualquiera no pueda simplemente agregar ningún vector de ataque que cause un cálculo excesivo.

Ellosdenttres formas diferentes de implementar esta solución. Estos incluyen agregar complejidad de tiempo a las funciones de BeginBlock y Finkblock para que no se ejecutendefi, envolviendo contexto para mantener las operaciones intensivas en recursos en contextos medidos y la validación de todas las entradas a la función.

Además, pidieron pruebas y simulación más integrales para determinar cómo se podría explotar la vulnerabilidad y el potencial de su impacto.

Tambiéndentaficionarse las salvaguardas arquitectónicas y el monitoreo operativo para garantizar que las redes funcionen mediante métricas estándar y detectar cualquier desviación significativa.

Cosmos SDK lanza una nueva versión

Mientras tanto, el SDK Cosmos aún no ha comentado sobre el informe de seguridad y si hará algo para abordar el problema de su parte. Esto podría deberse a que la vulnerabilidad de Ifeeddentes en realidad una característica de diseño y no un error o malware, como las alertas de seguridad recientes sobre los ataques de la cadena de suministro.

Afortunadamente, los desarrolladores que usan el Cosmos SDK pueden implementar la mayoría de las recomendaciones de expertos en seguridad, lo que les permite tomar el control de lo que implementan y asegurarse de que no sea vulnerable a los ataques DDoS.

Curiosamente, Cosmos SDK lanzó recientemente su versión V0.53.0. Según el anuncio en X, la versión es una respuesta a los puntos débiles que los constructores plantearon sobre la versión anterior.

Según los informes, la última versión viene con transacciones desordenadas, capacidades mejoradas para grupos comunitarios, mecanismos de gobernanza personalizados, épocas y acuñaciones personalizadas. También viene con correcciones de errores, y los desarrolladores ya pueden actualizarlo en GitHub.

Cosmos SDK es una herramienta para que los desarrolladores construyan fácilmente su propia red personalizada e se integren con Cosmos Blockchain, una red que busca convertirse en Internet de Blockchains.

Academia Cryptopolitan: ¿Quieres hacer crecer tu dinero en 2025? Aprenda cómo hacerlo con DeFi en nuestra próxima clase web. Guarda tu lugar