Tendermint diz que a vulnerabilidade do Cosmos do mês passado expôs uma brecha de segurança

Os desenvolvedores por trás da rede Cosmos divulgaram hoje uma Aviso Importante completa da "vulnerabilidade crítica de segurança" do mês passado, que supostamente permitiu que hackers ignorassem certas penalidades por mau comportamento na rede.

Zaki Manian, diretor da Tendermint Inc – a entidade com fins lucrativos por trás da Tecnologia CORE da rede Cosmos – detalhou ao CoinDesk em uma entrevista:

"O ponto principal é que queremos dificultar muito o mau comportamento na rede e, então, retirar seus tokens do stake imediatamente e escapar das consequências desse mau comportamento... como votar em algo ruim na governança [ou] coisas mais complexas como sinalização dupla contra uma exchange para potencialmente reverter o estado."

Normalmente, os validadores do Cosmos – que são o equivalente a mineradores em uma rede blockchain de prova de trabalho – que se comportam mal, seja votando aleatoriamente ou assinando transações falsas, são penalizados tendo seus tokens ATOM apostados cortados. Isso é possível por meio de um período mínimo de espera de 21 dias que impede que os validadores retirem seus tokens ATOM apostados antes que a rede seja capaz de detectar e filtrar suficientemente suas ações.

Conforme declarado empostagem de hojepela equipe do Tendermint, a vulnerabilidade de código descoberta no mês passado pode permitir que um validador ignore o período completo de desvinculação ou "desvinculação" "e tenha seus fundos imediatamente líquidos, essencialmente desvinculação instantânea".

"Nas primeiras 24 horas após receber o relatório de bug, nossas ferramentas detectaram cerca de 22 Eventos no total", escreveu a equipe.

Tendo entrado em operação em março passado, Cosmos é uma rede de blockchain relativamente nova que foi projetada para melhorar a interoperabilidade entre diferentes plataformas de blockchain. Um relatado 16 milhões de dólaresfoi levantado em uma oferta inicial de moeda em 2017.

A vulnerabilidade de segurança divulgada hoje foi encontrada no "módulo de staking" do Cosmos Software Development Kit (SDK), que estreou em 2018 como um kit de ferramentas de blockchain "de última geração". Foi detalhado na época como "outra maneira de construir blockchains, com segurança e facilidade" em uma postagem anterior do blog.

Lições aprendidas

Jessy Irwin, chefe de segurança da Tendermint, disse em entrevista ao CoinDesk que, embora a vulnerabilidade divulgada hoje seja a primeira do tipo a impactar a rede principal do Cosmos , "não é o primeiro bug que nos foi relatado".

"Passamos por sete auditorias de segurança e tivemos vários problemas levantados e também tivemos um programa de recompensa por bugs bem ativo", disse Irwin. "Investimos BIT no último ano e meio desde que entrei para a equipe na criação de um ambiente onde as pessoas relatam bugs em vez de não fazer nada a respeito."

A vulnerabilidade, agora totalmente corrigida na rede Cosmos , exigiu que os validadores do Cosmos executassem um hard fork de emergência ou uma atualização de todo o sistema. A atualização foi ativada em 31 de maio no bloco número 482.100.

Irwin destacou que, para que esse hard fork seja executado com sucesso sem resultar em uma divisão de rede, um aviso urgente precisa ser enviado a todos os validadores do Cosmos e outros provedores de serviços que estavam executando o software Cosmos em seus computadores.

No futuro, Irwin disse ao CoinDesk que uma das maiores lições aprendidas com o processo de Aviso Importante e atualização de segurança foi uma necessidade maior de canais de comunicação seguros com os validadores do Cosmos e outros provedores de serviços.

Irwin enfatizou:

"Nós realmente vamos defender que nosso centro de validadores e exchanges abra seus próprios canais para comunicações de segurança... Estamos trabalhando muito duro com nosso conjunto de validadores para abrir isso, para que da próxima vez não tenhamos que correr e lutar por informações para Fale Com A Gente com eles."

Imagem de Zaki Manian cortesia da Web3 Foundation