Cosmosのバグにパッチが適用され、1億5,000万ドルが危険にさらされる可能性があると報告した企業が発表

アシンメトリック社が独自の発見として非公開で報告した「リエントランシーの脆弱性」は、アシンメトリー社によってコスモス開発チームの注意を引きつけられました。この問題は、悪用される前に解決されたとされています。

「私たちが発見した脆弱性は、Cosmos HackerOne Bug Bounty プラットフォームを通じて密かに報告され、その後修正されました。幸いなことに、悪意を持って利用する人はおらず、結果として資金が影響を受けることはありませんでした。」

Interchain Foundation のバグ報奨金プログラムを監督し、Cosmos ネットワーク全体のセキュリティを管理している Amulet の CEO、Jessy Irwin 氏は、電子メールの中で、この問題が彼らに報告されたことを認めました。その後、この問題に関する警告通知が公開されました。

まずはコスモス

Cosmos ネットワークは相互接続された複数のブロックチェーンで構成されており、すべて共通のコードと必須コンポーネントを利用しています。このバグは経済的損失にはつながりませんでしたが、システム内のリエントランシーの脆弱性が初めて発見されました。これは予期せぬ発見であり、これまで疑いの余地のなかった Cosmos ブロックチェーン プラットフォームのセキュリティと信頼性に対する懸念を引き起こしました。

ブロックチェーン間通信プロトコル (IBC) は、多くの Cosmos ブロックチェーンの重要な部分であり、異なるブロックチェーン間のシームレスな通信を可能にし、ブロックチェーン間の資産の転送を容易にします。最近、いくつかの Cosmos チェーンで採用されている IBC の一般的なバージョンである ibc-go の Ametric によって弱点が発見されました。

この問題に対処する過程で、Amulet と IBC-go のチームは、この問題の影響を受ける可能性のある関係者を特定し、影響を軽減するために個別の評価を実施しました。 (アーウィンの発言を言い換えたもの)

攻撃者は、再入バグとして知られる脆弱性により、Cosmos 上の大規模な分散型金融 (DeFi) ネットワークの一部である Osmosis などの相互運用可能なブロックチェーン上に無制限の数のトークンを作成する可能性があります。この種の問題により、悪意のある攻撃者が特定のトランザクション シーケンスを悪用してシステムを操作することが可能になります。

ibc-go の弱点は当初から存在していましたが、Cosmos SDK コミュニティに新機能が登場するまで悪用可能ではありませんでした。具体的には、スマート コントラクト ランタイムである CosmWasm を使用して構築されたカスタム アプリケーションである「IBC ミドルウェア」の開発です。 WebAssembly に基づいています。この革新により、ブロックチェーン間でトークンを転送できるようになりました。

「この脆弱性の発見は、相互接続されたブロックチェーン ネットワークのセキュリティを強化するために、クロスチェーン セキュリティ リスクに関する追加調査を実施することの重要性を浮き彫りにしました」と、アシンメトリック社の CEO であり、以前 Jump Crypto でセキュリティ リードを務めていたジョナサン クラウディウス氏は述べています。 「この事件は、デジタル経済を危険にさらす可能性のある潜在的な危険を特定して対処するという当社の専門知識と取り組みを示しています。」