Tendermint каже, що вразливість Cosmos минулого місяця виявила лазівку в безпеці

Розробники мережі Cosmos опублікували сьогодні повне Повідомлення «критичної вразливості безпеки» минулого місяця, яка, як повідомляється, дозволяла хакерам обійти певні покарання за неналежну поведінку в мережі.

Закі Манян, директор Tendermint Inc – комерційної організації, що стоїть за CORE Технології мережі Cosmos – розповів CoinDesk в інтерв’ю:

«Ключ у тому, що ми хочемо зробити так, щоб неправильна поведінка в мережі була справді складною, а потім негайно скасовувати ваші токени та уникнути наслідків такої неправильної поведінки...наприклад, голосування за щось погане в управлінні [або] більш складні речі — подвійні вивіски проти біржі, щоб потенційно змінити стан».

Зазвичай валідатори Cosmos , які є еквівалентами майнерів у мережі блокчейнів із підтвердженням роботи, поводяться неправильно, голосуючи випадково або підписуючи фальшиві транзакції, караються скороченням їхніх поставлених токенів ATOM . Це стало можливим завдяки мінімальному періоду очікування в 21 день, що не дозволяє валідаторам відмінити ставку своїх токенів ATOM до того, як мережа зможе належним чином виявити та перевірити їхні дії.

Як зазначено в сьогоднішній пост командою Tendermint, уразливість коду, виявлена ​​минулого місяця, може дозволити валідатору обійти період повного скасування ставок або «скасування зв’язків», «і їхні кошти негайно стануть ліквідними, фактично миттєво скасувавши зв’язок».

«Протягом перших 24 годин після отримання звіту про помилку наші інструменти виявили приблизно 22 Заходи », — написала команда.

Cosmos , запущений у березні минулого року, є відносно новою мережею блокчейнів, розробленою для покращення взаємодії між різними платформами блокчейнів. А повідомив 16 мільйонів доларів була зібрана в початковій пропозиції монет ще в 2017 році.

Оголошену сьогодні вразливість у безпеці насправді виявлено в «модулі стейкингу» пакета програмного забезпечення Cosmos Software Development Kit (SDK), який дебютував ще у 2018 році як «найсучасніший» інструментарій блокчейну. У той час це було деталізовано як «ще один спосіб створити блокчейни, безпечно та легко» у попередній публікації блогу.

Вивчені уроки

Джессі Ірвін, керівник відділу безпеки Tendermint, сказала в інтерв’ю CoinDesk , що, хоча виявлена ​​сьогодні вразливість є першою у своєму роді, яка вплинула на основну мережу Cosmos , «це не перша помилка, про яку нам повідомили».

«Ми пройшли сім перевірок безпеки, і у нас виникли численні проблеми, а також у нас була досить активна програма винагород за помилки», — сказав Ірвін. «За останні півтора року, відколи я приєднався до команди, ми інвестували BIT у створення середовища, де люди повідомляють про помилки, а не роблять нічого з ними».

Уразливість, яку зараз повністю виправлено в мережі Cosmos , вимагала валідаторів Cosmos для виконання екстреного хардфорку або загальносистемного оновлення. Оновлення було активовано 31 травня під номером блоку 482 100.

Ірвін підкреслив, що для успішного виконання цього хардфорка без розриву мережі необхідно надіслати термінове повідомлення всім валідаторам Cosmos та іншим постачальникам послуг, які використовували програмне забезпечення Cosmos на своїх комп’ютерах.

Рухаючись далі, Ірвін сказав CoinDesk , що ONE із найбільших уроків, отриманих у процесі Повідомлення та оновлення системи безпеки, була більша потреба у безпечних каналах зв’язку з валідаторами Cosmos та іншими постачальниками послуг.

Ірвін підкреслив:

«Ми справді збираємося виступати за те, щоб наш центр валідаторів і бірж відкривав власні канали для зв’язку безпеки... Ми дуже наполегливо працюємо над тим, щоб наш валідатор відкрив його, щоб наступного разу не бігати й не шукати інформацію, щоб Зв'яжіться з нами з ними».

Зображення Zaki Manian надано Web3 Foundation