Kritiek beveiligingslek in het Cosmos-blockchainsysteem is tijdig opgelost

Ontwikkelaars van de Cosmos-blockchain hebben een ernstige beveiligingsfout in hun inter-blockchain-communicatieprotocol (IBC) aangepakt, waardoor $126 miljoen aan digitale activa in gevaar zou kunnen komen, volgens een rapport van een beveiligingsbedrijf op het gebied van blockchains.

Het lek, dat Assymetric Research privé meldde via het Cosmos HackerOne Bug Bounty-programma, is nu verholpen.

Kwetsbaarheid kan leiden tot een re-entry-aanval

Het beveiligingsbedrijf bevestigde op 23 april dat de kwetsbaarheid zou kunnen leiden tot een zogenaamde reentry-aanval, waarbij een hacker oneindige tokens zou kunnen genereren op blockchains die zijn verbonden met IBC, zoals Osmosis en andere gedecentraliseerde financiële ecosystemen binnen Cosmos. Asymetric Research verklaarde: “Wij geloven dat bij Osmosis minstens $ 126 miljoen aan activa had kunnen worden gestolen, maar snelheidslimieten hebben waarschijnlijk het ergste voorkomen.”

Tarieflimieten zijn technische maatregelen die bedoeld zijn om het aantal verzoeken dat per tijdseenheid kan worden verwerkt te beperken, waardoor de schade veroorzaakt door cyberaanvallen tot een minimum wordt beperkt.

Er was een bug sinds de lancering van ibc-go

Volgens het rapport bestond de fout al sinds de release van ibc-go, de implementatie van de IBC-programmeertaal, in 2021. Het probleem kwam pas aan het licht na de recente implementatie van nieuwe software genaamd IBC middleware, die ICS20-crossover mogelijk maakt. (interchain) tokens standaard token) tussen ketens.

“Dit incident laat zien hoe gemakkelijk het is om beveiligingsaannames te schenden en nieuwe kwetsbaarheden te introduceren met de toevoeging van nieuwe functies”, zegt ADSL, een andere beveiligingsorganisatie. “Het benadrukt ook het belang van diepgaande defensie en de behoefte aan meer onderzoek naar de veiligheidsrisico’s van cross-chain technologieën.”

De bug is ongeveer drie weken geleden opgelost door Cosmos-ontwikkelaar Carlos Rodríguez, zoals weergegeven in een GitHub-commit. Een eerder ‘kritiek’ beveiligingsprobleem binnen hetzelfde IBC-protocol werd in oktober 2022 geïdentificeerd, maar werd ook opgelost voordat er misbruik van kon worden gemaakt.