Nhà nghiên cứu an ninh Doyeon Park đã công bố vào ngày 21 tháng 4 rằng trong lớp đồng thuận của Cosmos, CometBFT tồn tại một lỗ hổng zero-day mức độ nghiêm trọng cao theo CVSS là 7.1, có thể khiến các nút bị tấn công bởi các đối tác độc hại trong giai đoạn đồng bộ khối (BlockSync) và rơi vào tình trạng bế tắc (deadlock), ảnh hưởng đến một mạng lưới bảo vệ hơn 8 tỷ USD tài sản.
Nguyên lý kỹ thuật của lỗ hổng: nút độc hại báo cáo độ cao sai lệch nghiêm trọng gây bế tắc vô hạn
Lỗ hổng nằm trong cơ chế BlockSync của CometBFT. Trong điều kiện bình thường, khi các nút ngang hàng kết nối sẽ báo cáo độ cao khối mới nhất tăng dần (latest). Tuy nhiên, mã hiện có không xác thực trường hợp một nút ngang hàng báo độ cao X trước rồi sau đó báo độ cao thấp hơn Y—ví dụ: báo trước 2000 rồi báo tiếp 1001. Lúc này, nút A trong quá trình đồng bộ sẽ chờ vĩnh viễn để bắt kịp độ cao 2000, ngay cả khi nút độc hại bị ngắt kết nối; do đó, độ cao mục tiêu không được tính lại, dẫn đến nút rơi vào bế tắc vô hạn, không thể tham gia lại mạng. Các phiên bản bị ảnh hưởng là <= v0.38.16 và v1.0.0; các phiên bản đã được vá là v1.0.1 và v0.38.17.
Sự cố trong phối hợp công bố: dòng thời gian đầy đủ về việc nhà cung cấp hạ cấp CVE
Park đã tuân theo quy trình tiêu chuẩn phối hợp công bố lỗ hổng (CVD), nhưng trong quá trình đã nhiều lần gặp trở ngại: ngày 22 tháng 2 nộp báo cáo đầu tiên, nhà cung cấp yêu cầu nộp dưới dạng một GitHub issue công khai nhưng từ chối công bố rộng rãi; ngày 4 tháng 3 nộp báo cáo thứ hai bị HackerOne đánh dấu là thư rác; ngày 6 tháng 3 nhà cung cấp tự hạ mức độ nghiêm trọng của lỗ hổng từ “trung bình/cao” xuống “mang tính thông tin (tác động có thể bỏ qua)”, Park nộp một bằng chứng khái niệm (PoC) cấp mạng để phản biện; ngày 21 tháng 4 cuối cùng quyết định công bố rộng rãi.
Park cũng chỉ ra rằng trước đó nhà cung cấp đã thực hiện một thao tác hạ cấp tương tự đối với CVE-2025-24371, một lỗ hổng có cùng ảnh hưởng, và điều này bị cho là vi phạm các tiêu chuẩn đánh giá lỗ hổng quốc tế được công nhận như CVSS.
Hướng dẫn khẩn cấp: các hành động mà người xác thực cần thực hiện ngay bây giờ
Trước khi bản vá được triển khai chính thức, Park khuyến nghị tất cả các người xác thực Cosmos nếu có thể thì tránh khởi động lại nút. Các nút đang ở chế độ đồng thuận có thể tiếp tục vận hành bình thường; tuy nhiên nếu khởi động lại và đi vào quá trình đồng bộ BlockSync, có thể bị tấn công bởi các nút độc hại và rơi vào bế tắc.
Là biện pháp giảm thiểu tạm thời: nếu phát hiện BlockSync bị kẹt, có thể xác định các đối tác ngang hàng độc hại báo cáo độ cao không hợp lệ bằng cách tăng mức độ ghi log, và chặn nút đó ở lớp P2P. Giải pháp căn bản nhất là nhanh chóng nâng cấp lên phiên bản đã được vá v1.0.1 hoặc v0.38.17.
Câu hỏi thường gặp
Lỗ hổng này của CometBFT có thể trực tiếp đánh cắp tài sản không?
Không. Lỗ hổng này không thể trực tiếp đánh cắp tài sản hoặc gây nguy hiểm cho sự an toàn của tiền trên chuỗi. Tác động của nó là khiến các nút rơi vào bế tắc trong giai đoạn đồng bộ BlockSync, khiến các nút không thể tham gia mạng một cách bình thường; điều này có thể ảnh hưởng đến khả năng tạo khối và bỏ phiếu của người xác thực, từ đó ảnh hưởng đến tính hoạt động của chuỗi khối liên quan.
Người xác thực xác định nút có bị tấn công bởi lỗ hổng này hay chưa như thế nào?
Nếu nút bị kẹt trong giai đoạn BlockSync thì việc độ cao mục tiêu ngừng tăng là một dấu hiệu khả dĩ. Có thể tăng mức độ ghi log của mô-đun BlockSync để xem liệu có các bản ghi về các đối tác ngang hàng đã nhận được các thông điệp độ cao bất thường hay không, từ đó nhận diện các nút độc hại tiềm ẩn và chặn chúng ở lớp P2P.
Việc nhà cung cấp hạ cấp lỗ hổng thành “mang tính thông tin” có đúng tiêu chuẩn không?
Đánh giá CVSS của Park (7.1, mức độ cao) dựa trên phương pháp chấm điểm quốc tế tiêu chuẩn, và Park đã nộp một PoC cấp mạng có thể xác minh được để phản biện quyết định hạ cấp. Việc nhà cung cấp hạ nó xuống “tác động có thể bỏ qua” bị cộng đồng an ninh cho là vi phạm các tiêu chuẩn đánh giá lỗ hổng quốc tế được công nhận như CVSS; tranh cãi này cũng là một trong những lý do cốt lõi khiến Park cuối cùng quyết định công bố rộng rãi.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Hội đồng An ninh Arbitrum Phong tỏa $71M trong Quỹ Vụ Tấn công KelpDAO, Thổi Bùng Tranh Luận Về Phi Tập Trung
Tin tức Gate, ngày 24 tháng 4 — Hội đồng An ninh của Arbitrum đã phong tỏa khoảng 30,000 ETH (khoảng $71 triệu) trong các quỹ liên quan từ vụ tấn công KelpDAO vào ngày 24 tháng 4, khởi động lại cuộc thảo luận trong toàn ngành crypto về ý nghĩa thực sự của
GateNews44phút trước
Sàn giao dịch lớn nhất của Ba Lan đối mặt với các cáo buộc lừa đảo $350M
Zondacrypto đang phải đối mặt với các cáo buộc chiếm dụng tiền, khi CEO của công ty, Przemysław Kral, cho biết sàn giao dịch đã mất quyền truy cập vào một ví có chứa hơn 4.500 BTC. Kral cho biết ví này đã được bán cho sàn giao dịch, nhưng chủ sở hữu cũ đã biến mất trước khi bàn giao các khóa riêng.
Khóa
Coinpedia1giờ trước
JPMorgan: Các vụ khai thác bảo mật trong DeFi và TVL trì trệ giới hạn việc các tổ chức tham gia
Tin tức Gate, ngày 23 tháng 4 — Các nhà phân tích của JPMorgan do giám đốc điều hành Nikolaos Panigirtzoglou dẫn đầu cho biết việc khai thác (DeFi) phi tập trung dai dẳng và tăng trưởng yếu tiếp tục hạn chế sự quan tâm của các tổ chức đối với lĩnh vực này. Vụ hack Kelp DAO gần đây đã xóa khoảng $20 tỷ khỏi tổng giá trị bị khóa của DeFi TVL trong chỉ vài ngày, theo báo cáo hôm thứ Tư
GateNews6giờ trước
Kho bạc Hoa Kỳ trừng phạt Thượng nghị sĩ Campuchia vì mạng lưới lừa đảo tiền mã hóa
## Tổng quan
Bộ Tài chính Hoa Kỳ đã trừng phạt Thượng nghị sĩ Campuchia Kok An và 28 tổ chức liên quan đến ông vào hôm thứ Năm, theo Cơ quan Kiểm soát Tài sản Nước ngoài thuộc Bộ Tài chính (Office of Foreign Assets Control) (OFAC). Động thái này nhắm vào thứ mà các quan chức mô tả là một hoạt động lừa đảo tiền mã hóa quy mô lớn ở Đông Nam Á.
## The
CryptoFrontier7giờ trước
Lido Đề Xuất Phân Bổ 2.500 ETH Đã Đặt Cọc Để Bù Đắp Thiếu Hụt rsETH Từ Vụ Khai Thác Kelp
Tin tức Gate, ngày 24 tháng 4 — Lido Labs đang tìm kiếm sự chấp thuận của DAO để phân bổ tối đa 2,500 staked Ethereum (stETH), trị giá khoảng 5,8 triệu USD, nhằm giảm thâm hụt rsETH do vụ khai thác Kelp gần đây trên LayerZero gây ra.
Vụ khai thác cầu nối Kelp rsETH, đã dẫn đến khoảng $292 triệu USD trong
GateNews9giờ trước
JPMorgan Chase: Các vụ tin tặc DeFi diễn ra liên tục và cơ chế nén quan tâm khi TVL trì trệ, dòng tiền chuyển sang USDT
Báo cáo của JPMorgan cho rằng DeFi tiếp tục gặp lỗ hổng, các cuộc tấn công vào cầu nối xuyên chuỗi và tiên tri diễn ra thường xuyên, khiến TVL đình trệ và làm suy yếu ý chí đầu tư của các tổ chức; dòng vốn chuyển sang USDT có thể theo dõi và có thể bị phong tỏa. Các cuộc tấn công vào KelpDAO và Rhea Finance cho thấy rủi ro trong quản lý rủi ro; stablecoin tập trung và lưu ký được ưa chuộng hơn. Về dài hạn, để cải thiện cần phải vượt qua bảo hiểm và quản trị; DeFi khó quay trở lại mức TVL cao như năm 2021, và stablecoin sẽ tập trung hơn.
ChainNewsAbmedia9giờ trước
