Message de Gate News, 22 avril — La chercheuse en sécurité Doyeon Park a révélé une vulnérabilité zero-day critique CVSS 7.1 dans la couche de consensus CometBFT de Cosmos, susceptible de provoquer le gel des nœuds pendant la synchronisation des blocs, ce qui pourrait affecter des réseaux qui sécurisent plus de $8 milliard de dollars d’actifs. La vulnérabilité ne peut pas voler directement des fonds.
Park a lancé un processus de divulgation coordonnée le 22 février, mais s’est heurtée à une résistance de la part du fournisseur, qui lui a demandé de soumettre un ticket GitHub en public tout en refusant une divulgation publique. Le 4 mars, HackerOne a marqué son deuxième signalement comme spam. Le 6 mars, le fournisseur a rétrogradé de façon arbitraire une vulnérabilité liée (CVE-2025-24371) au niveau « informational », écartant des normes internationales. Park a soumis une preuve de concept au niveau réseau pour contrecarrer cette décision avant de divulguer publiquement le défaut le 21 avril.
Park recommande aux validateurs Cosmos d’éviter de redémarrer les nœuds avant qu’un correctif ne soit publié. Les nœuds déjà en mode consensus peuvent continuer à fonctionner, mais un redémarrage et une entrée en synchronisation peuvent les exposer à des attaques de la part de pairs malveillants, pouvant entraîner un interblocage.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Le protocole de prêt DeFi sur la chaîne Sui, Scallop, a été piraté ; une faille dans l’ancien contrat a permis le vol de 150 000 SUI
Scallop sur la chaîne Sui fait l’objet d’une attaque, un contrat latéral impliquant le pool de récompenses sSUI a été exploité, environ 150 000 SUI ont été volés. Le contrat central est sécurisé, les dépôts et retraits ont été rétablis. La déclaration officielle précise que cela ne concerne que le contrat de récompenses déjà mis au rebut ; les fonds des utilisateurs ne sont pas affectés. L’ancien développeur NEAR Vadim indique que la faille provient d’un ancien paquet V2 datant de 17 mois, qui n’avait pas initialisé last_index, entraînant l’accumulation des récompenses depuis 2023. La correction doit ajouter un champ de version à l’objet partagé et renforcer la vérification de version afin d’éviter que des paquets obsolètes ne créent des risques.
ChainNewsAbmediaIl y a 9m
Scallop découvre une vulnérabilité dans le pool de récompenses sSUI, subit une perte de 150 K SUI, mais s’engage à un remboursement intégral
Message de Gate News, 26 avril — Scallop, un protocole de prêt au sein de l’écosystème Sui, a annoncé la découverte d’une vulnérabilité dans un contrat auxiliaire associé à son pool de récompenses sSUI, entraînant une perte d’environ 150 000 SUI. Le contrat concerné a été gelé, et Scallop a confirmé
GateNewsIl y a 4h
Litecoin subit une profonde réorganisation de chaîne après l’exploitation d’une faille zero-day de la couche de confidentialité MWEB
Message des actualités Gate News, 26 avril — Litecoin a subi une profonde réorganisation de chaîne le samedi (26 avril) après que des attaquants aient exploité une vulnérabilité zero-day dans sa couche de confidentialité MimbleWimble Extension Block (MWEB), selon la Litecoin Foundation. La réorg a couvert les blocs 3,095,930 à 3,095,943 et
GateNewsIl y a 5h
Le Litecoin voit pour la première fois une couche de confidentialité piratée : déclenchement d’une vulnérabilité zero-day MWEB provoquant une réorganisation de 13 blocs de chaîne
Selon The Block, la Fondation Litecoin confirme qu’une faille zero-day a été exploitée dans la couche de confidentialité MWEB. Les attaquants utilisent des nœuds obsolètes pour faire passer des transactions MWEB falsifiées comme valides, provoquant un rollback de la chaîne principale de 13 blocs (environ 3 heures) et un double-spend sur des échanges inter-chaînes. NEAR Intents a exposé environ 600 000 dollars, et les pools de minage ont également subi un DoS. Une version corrigée a été publiée : veuillez effectuer la mise à niveau immédiatement. Les soldes de la chaîne principale ne sont pas affectés, mais cela met en évidence le compromis entre la réduction de la détectabilité et la difficulté de détection de la couche de confidentialité.
ChainNewsAbmediaIl y a 7h
Aave, Kelp, LayerZero Seek $71M Libération de l’ETH gelé depuis l’optimisme décentralisé (DAO) d’Arbitrum
Aave Labs, Kelp DAO, LayerZero, EtherFi et Compound ont déposé un AIP constitutionnel sur le forum Arbitrum samedi matin, demandant au DAO du réseau de débloquer environ $71 million d’ETH gelés afin de soutenir les efforts de redressement de rsETH, faisant suite à la fuite/exploitation de $292 million subie par Kelp DAO la semaine dernière. La proposition
CryptoFrontierIl y a 8h
Litecoin subit une profonde réorganisation de chaîne après une faille zero-day MWEB, effaçant trois heures d’historique
Message de Gate News, 26 avril — Le Litecoin a subi une profonde réorganisation de chaîne (reorg) samedi après que des attaquants ont exploité une vulnérabilité zero-day dans sa couche de confidentialité MimbleWimble Extension Block (MWEB), selon la Litecoin Foundation. Le bug a permis à des nœuds de minage exécutant un logiciel plus ancien de
GateNewsIl y a 14h
