Falha de segurança no Cosmos SDK pode permitir ataques de DDoS

A empresa de segurança de blockchain Oak Security levantou preocupações sobre uma vulnerabilidade no Kit de Desenvolvimento de Software da Chain Cosmos (SDK) que poderia levar a um ataque de negação de serviço distribuída (DDoS) à rede. Em um post médio, dois dos pesquisadores da empresa, Edward Kotysh e Christian Vari, explicaram por que esse é um grande risco.

Segundo os pesquisadores , a vulnerabilidade reside no fato de que as funções de início e bloco final não estão sujeitas a medição de gás. Isso é por design, pois permite que os desenvolvedores tenham algum tempo de computação gratuito, pois essas duas funções não afetam necessariamente as transações do usuário.

No entanto, os especialistas em segurança alertaram que o que deveria ser uma margem de manobra menor para os desenvolvedores poderia realmente causar danos significativos às redes baseadas em Cosmosde várias maneiras. Isso inclui causar congestionamento da rede, afetar os validadores ou até levar a uma interrupção completa.

Eles disseram:

"Essa liberdade pode ser uma espada de dois gumes e pode abrir a caixa de vulnerabilidades em potencial da Pandora. A questão principal é que, sem limites de gás, código mal otimizado ou malicioso no BeginBlock e o final pode realmente causar estragos".

Os pesquisadores testaram suas teorias sobre o impacto potencial da vulnerabilidade, realizando experimentos. Em um dos experimentos, eles introduziram atrasos randomizados na função BeginBlock em várias alturas de bloco, com atrasos que variam de cinco segundos a um minuto.

A partir dos experimentos, os especialistas confirmaram que os atrasos levaram a um congestionamento substancial na rede, diminuindo sua progressão e aumentando o tempo necessário para concluir os blocos. Também afetou os validadores, com vários deles não assinaram blocos nos horários necessários e algumas fases de votação ausentes completamente.

Sem surpresa, o número limitado de validadores disponíveis para assinar transações (menos de dois terços) significou que a cadeia de testes sofreu interrupções temporárias. Os pesquisadores observaram que isso pode resultar em uma interrupção completa na própria rede principal, onde existem várias transações que estão acontecendo ao mesmo tempo que precisam ser finalizadas.

O Oak Security recomenda correções para desenvolvedores

Enquanto isso, os especialistas em segurança recomendaram soluções para corrigir a vulnerabilidade antes que um ator ruim a explore. Segundo eles, é necessário implementar limites rígidos de computação, para que mesmo qualquer um não possa simplesmente adicionar nenhum vetor de ataque que cause computação excessiva.

Elesdenttrês maneiras diferentes de implementar esta solução. Isso inclui a adição de complexidade de tempo às funções iniciantes e blocos finais, para que eles não sejam executadosdefi, embalagem de contexto para manter as operações intensivas em recursos em contextos medidos e a validação de todas as entradas para a função.

Além disso, eles pediram testes e simulação mais abrangentes para determinar como a vulnerabilidade poderia ser explorada e o potencial de seu impacto.

Eles tambémdentsalvaguardas arquitetônicas e monitoramento operacional para garantir que as redes operem por métricas padrão e detectem qualquer desvio significativo.

Cosmos SDK lança uma nova versão

Enquanto isso, o Cosmos SDK ainda não comentou o relatório de segurança e se fará qualquer coisa para resolver o problema. Isso pode ocorrer porque a vulnerabilidadedenté na verdade um recurso de design e não um bug ou malware, como alertas de segurança recentes sobre ataques da cadeia de suprimentos.

Felizmente, os desenvolvedores que usam o Cosmos SDK podem implementar a maioria das recomendações de especialistas em segurança, permitindo que eles assumam o controle do que eles implantam e garantir que não seja vulnerável a ataques de DDoS.

Curiosamente, Cosmos SDK lançou recentemente sua versão v0.53.0. De acordo com o anúncio em X, a versão é uma resposta aos pontos problemáticos que os construtores levantaram sobre a versão anterior.

A versão mais recente vem com transações não ordenadas, capacidades aprimoradas para pools comunitários, mecanismos de governança personalizada, épocas e cunhagem personalizada. Ele também vem com correções de bugs, e os desenvolvedores já podem atualizar no Github.

Cosmos SDK é uma ferramenta para os desenvolvedores construirem facilmente sua própria rede personalizada e se integrarem ao Cosmos Blockchain, uma rede que procura se tornar a Internet de Blockchains.

Academia Cryptopolitan: Quer aumentar seu dinheiro em 2025? Aprenda a fazê -lo com DeFi em nossa próxima webclass. Salve seu lugar