Gate News 消息,4 月 22 日——安全研究员朴度妍(Doyeon Park)披露了 Cosmos 共识层 CometBFT 中一项关键的 CVSS 7.1 零日漏洞,该漏洞可能导致节点在区块同步期间冻结,从而潜在影响为 $8 billion 以上资产提供安全保障的网络。该漏洞无法直接窃取资金。
Park 于 2 月 22 日启动协调披露流程,但遭到厂商的阻挠;厂商要求其提交公开的 GitHub 问题,却拒绝公开披露。3 月 4 日,HackerOne 将他的第二份报告标记为垃圾邮件(spam)。3 月 6 日,厂商任意将相关漏洞 (CVE-2025-24371) 降级为“信息级别”(“informational”),无视国际标准。Park 在 4 月 21 日公开披露该缺陷前,提交了网络层面的概念验证(proof-of-concept)以反制这一决定。
Park 建议 Cosmos 验证者在发布补丁之前避免重启节点。已经处于共识模式的节点可以继续运行,但重启并进入同步可能使其暴露在来自恶意对等方的攻击之下,进而可能导致死锁。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
Sui 上的 Scallop Protocol 遭遇闪电贷攻击,$142K 通过预言机操纵被掏空
Gate News 消息,4 月 26 日——Scallop Protocol 是 Sui 区块链上的一个借贷平台,遭遇了一起针对其 sSUI 奖励池所关联的已弃用侧合约的闪电贷漏洞攻击,造成约 $142,000 (150,000 SUI) 的损失。该攻击利用了预言机价格喂价
GateNews41 分钟前
22岁男子因 $263 百万加密货币盗窃而被判处70个月刑期,罪名为洗钱
加州居民埃文·坦吉曼(Evan Tangeman),22岁,因其在一起跨州加密货币盗窃团伙中的洗钱角色,于周五被判处联邦监禁70个月。美国司法部称,该团伙从受害者手中窃取了大约 $263 百万美元的数字资产。美国。
Crypto Frontier2小时前
莱特币在 MWEB 隐私层遭遇零日漏洞后出现深度链重组
Gate News 消息,4月26日——周六下午,莱特币在遭受攻击者利用其 MimbleWimble 扩展区块 (MWEB) 隐私层的零日漏洞之后,经历了一次深度链重组,据称
GateNews2小时前
与 Avi Eisenberg 关联的地址显示新的链上活动,引发安全担忧
Gate News 消息,4月26日——区块链分析平台 Arkham 已识别出一处被认为与 Avi Eisenberg 相关的地址出现了新的链上活动。该攻击者在 2022 年 Mango Markets 漏洞利用中获利约 $110 百万。Eisenberg 此前曾被
GateNews4小时前
Sui 链 DeFi 借贷协议 Scallop 遭黑客攻击,旧版合约漏洞致 15 万 SUI 被盗
Scallop 在 Sui 链遭攻击,侧合约牵连 sSUI 奖励池被利用,约 15 万枚 SUI 被盗,核心合约安全,存款与提领已恢复。官方声明仅限于已弃用的奖励合约,使用者资金未受影响。前 NEAR 开发者 Vadim 指漏洞源自 17 个月前的旧版 V2 套件,未初始化 last_index 导致自 2023 年起累积奖励;修复需在共用对象加入版本字段并强化版本检查,避免过时套件造成风险。
鏈新聞abmedia4小时前
Scallop 发现 sSUI 奖励池漏洞,损失 15 万 SUI 但承诺全额赔付
Gate 新闻消息,4月26日——Scallop,Sui 生态中的借贷协议,宣布发现与其 sSUI 奖励池相关的辅助合约中的漏洞,导致约 150,000 SUI 的损失。受影响的合约已被冻结,Scallop 证实
GateNews9小时前
