Der Sicherheitsexperte Doyeon Park deckte am 21. April öffentlich eine hochriskante Zero-Day-Schwachstelle mit dem Schweregrad CVSS 7.1 in der Konsensschicht von Cosmos namens CometBFT auf. Diese kann dazu führen, dass Knoten in der Phase des BlockSync von böswilligen Peers angegriffen werden und in einen Deadlock geraten. Dadurch können Netzwerke betroffen sein, die Vermögenswerte im Wert von über 8 Milliarden US-Dollar absichern.
Technisches Prinzip der Schwachstelle: Missbrauch stark erhöhter Reports führt zu endlosem Deadlock
Die Schwachstelle liegt im BlockSync-Mechanismus von CometBFT. In der normalen Situation melden Peers beim Verbindungsaufbau fortlaufend die neueste Blockhöhe (latest). Allerdings validiert der aktuelle Code nicht, ob ein Peer nach der Meldung einer Höhe X anschließend eine niedrigere Höhe Y meldet – zum Beispiel erst 2000 und dann 1001. In diesem Fall wird der Synchronisierungsknoten A dauerhaft darauf warten, die Höhe 2000 einzuholen, selbst wenn der böswillige Peer die Verbindung trennt. Die Zielhöhe wird nicht neu berechnet, wodurch der Knoten in einen endlosen Deadlock gerät und sich nicht wieder ins Netzwerk einfügen kann. Betroffene Versionen sind <= v0.38.16 und v1.0.0. Die behobenen Versionen sind v1.0.1 und v0.38.17.
Gescheiterte koordinierte Offenlegung: Vollständige Zeitleiste, wie der Anbieter CVE downgradete
Park folgte einem standardmäßigen koordinierten Prozess der Schwachstellen-Offenlegung (CVD), stieß jedoch im Verlauf mehrfach auf Hindernisse: Am 22. Februar reichte er den ersten Bericht ein. Der Anbieter verlangte, dass er ihn in Form eines öffentlich einsehbaren GitHub issue einreicht, lehnte jedoch eine öffentliche Offenlegung ab. Am 4. März wurde der zweite Bericht von HackerOne als Spam markiert. Am 6. März senkte der Anbieter die Schwere der Schwachstelle von „mittel/hoch“ auf „informativ (Auswirkung ist vernachlässigbar)“; Park reichte daraufhin einen Netzwerk-Level-Konzeptnachweis (PoC) ein, um die Downgrade-Entscheidung zu widerlegen. Am 21. April wurde schließlich die Entscheidung getroffen, die Schwachstelle öffentlich offenzulegen.
Park wies außerdem darauf hin, dass der Anbieter zuvor bei einer Schwachstelle mit derselben Wirkung CVE-2025-24371 eine ähnliche Downgrade-Operation durchgeführt hatte. Dies wurde als Verstoß gegen CVSS und andere anerkannte internationale Standards zur Bewertung von Schwachstellen angesehen.
Dringender Hinweis: Welche Maßnahmen Validierer jetzt ergreifen müssen
Vor einer offiziellen Bereitstellung des Patches empfiehlt Park allen Cosmos-Validierern, einen Neustart der Knoten möglichst zu vermeiden. Knoten, die sich bereits im Konsensmodus befinden, können normal weiterlaufen; wenn sie jedoch neu gestartet werden und in den BlockSync-Synchronisierungsprozess eintreten, könnten sie aufgrund eines Angriffs durch böswillige Peers in einen Deadlock geraten.
Als vorübergehende Abmilderung: Wenn BlockSync feststeckt, kann man über das Erhöhen des Log-Levels (z. B. der Protokollierung) böswillige Peers identifizieren, die meldenscharfe (ungültige) Höhen ausgeben, und diesen Peer auf der P2P-Ebene blockieren. Die grundlegendste Lösung besteht darin, so schnell wie möglich auf die behobenen Versionen v1.0.1 oder v0.38.17 zu aktualisieren.
Häufige Fragen
Kann diese Schwachstelle von CometBFT direkt Vermögenswerte stehlen?
Nein. Diese Schwachstelle kann keine Vermögenswerte direkt stehlen oder Kettengelder bzw. die Sicherheit von On-Chain-Fonds unmittelbar gefährden. Ihre Auswirkung besteht darin, dass Knoten in der BlockSync-Synchronisierungsphase in einen Deadlock geraten, sodass sie nicht mehr normal am Netzwerk teilnehmen können. Dies kann die Fähigkeit von Validierern beeinträchtigen, Blöcke zu produzieren und abzustimmen, wodurch wiederum die Aktivität der betreffenden Blockchain beeinträchtigt werden kann.
Wie können Validierer feststellen, ob ein Knoten von dieser Schwachstelle angegriffen wurde?
Wenn ein Knoten in der BlockSync-Phase feststeckt, ist das Stillstehen der Erhöhung der Zielhöhe ein mögliches Anzeichen. Man kann das Log-Level des BlockSync-Moduls erhöhen und prüfen, ob Protokolle Peers mit abnormen Höhenmeldungen empfangen haben. So lassen sich potenziell böswillige Peers identifizieren und dann auf der P2P-Ebene blockieren.
Entspricht es dem Standard, wenn der Anbieter die Schwachstelle auf „informativ“ herunterstuft?
Parkes CVSS-Bewertung (7.1, hochriskant) basiert auf der standardmäßigen internationalen Bewertungsmethode, und Park reichte einen verifizierbaren Netzwerk-Level-PoC ein, um die Downgrade-Entscheidung zu widerlegen. Dass der Anbieter sie auf „Auswirkung ist vernachlässigbar“ herabstufte, wurde von der Sicherheits-Community als Verstoß gegen CVSS und andere anerkannte internationale Standards zur Bewertung von Schwachstellen angesehen. Diese Kontroverse ist auch einer der Kerngründe, warum Park sich schließlich entschied, öffentlich offenzulegen.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
SlowMist 23pds Warnung: Lazarus Group veröffentlicht ein neues macOS-Toolkit für Kryptowährungen
Miroskian Chief Information Security Officer 23pds veröffentlichte am 22. April eine Warnung und erklärte, dass die nordkoreanische Hackerorganisation Lazarus Group ein neues natives macOS-Malware-Toolkit namens „Mach-O Man“ veröffentlicht habe, das speziell auf die Krypto-Branche und hochrangige Führungskräfte von Unternehmen mit hohem Vermögenswert ausgerichtet sei.
MarketWhisper19M her
Venus-Protocol-Angreifer transferierten 2301 ETH und überwiesen diese an Tornado Cash zur Geldwäsche
Laut den On-Chain-Analysten Ai Ayi bei der Überwachung am 22. April hat der Angreifer von Venus Protocol vor 11 Stunden an die Adresse 0xa21…23A7f 2.301 ETH (ca. 5,32 Mio. USD) transferiert und anschließend die Mittel in Tranchen in den Krypto-Mixer Tornado Cash eingezahlt, um sie zu waschen; zum Zeitpunkt der Überwachung hält der Angreifer on-chain weiterhin etwa 17,45 Mio. USD in ETH.
MarketWhisper2Std her
Nordkoreanische Lazarus-Gruppe veröffentlicht neue macOS-Malware „Mach-O Man“, die Krypto ins Visier nimmt
Zusammenfassung: Die Lazarus-Gruppe hat ein natives macOS-Malware-Toolset namens Mach-O Man veröffentlicht, das auf Krypto-Plattformen und hochrangige Führungskräfte abzielt; SlowMist warnt Nutzer, bei Angriffen vorsichtig zu sein.
Abstrakt: Der Artikel berichtet, dass die Lazarus-Gruppe Mach-O Man vorgestellt hat, ein auf macOS natives Malware-Toolset, das auf Krypto-Plattformen und hochrangige Führungskräfte abzielt. SlowMist warnt Nutzer, vorsichtig zu sein, um potenzielle Angriffe zu mindern.
GateNews3Std her
Die Straße von Hormus erlebt einen Bitcoin-Mautbetrug: Schiffe werden beschossen, nachdem sie gezahlt haben
Laut CoinDesk vom 22. April hat das griechische Maritime-Risikodienstleistungsunternehmen Marisks eine Warnung herausgegeben. Darin heißt es, dass Betrüger sich als iranische Behörden ausgeben und mehreren Reedereien Nachrichten senden, um Bitcoin oder USDT als „Mautgebühr“ für die Durchfahrt durch die Straße von Hormus zu erlangen. Marisks bestätigte, dass die betreffenden Mitteilungen nicht aus offiziellen iranischen Kanälen stammen, und erklärte laut Reuters, man glaube, dass mindestens ein Schiff Opfer geworden sei und beim Versuch, dies auch am Wochenende zu passieren, weiterhin Beschuss erlitten habe.
MarketWhisper3Std her
RHEA Finance Sicherheitsereignis-Update: Es verbleibt eine Lücke von rund 400.000 USD, Zusage zur vollständigen Erstattung
RHEA Finance veröffentlicht ein Update zu den weiteren Maßnahmen zum Sicherheitsvorfall am 16. April und bestätigt, dass bei der Rückerlangung von Vermögenswerten bereits echte Fortschritte erzielt wurden; zum Zeitpunkt dieses Updates wird weiterhin ein Fehlbetrag von etwa 400.000 US-Dollar geschätzt, der hauptsächlich aus der Kombination von NEAR, USDT und USDC im Kreditmarkt-Liquiditätspool stammt. RHEA Finance verpflichtet sich, etwaige verbleibende Lücken vollständig auszugleichen, um sicherzustellen, dass alle betroffenen Nutzer eine vollständige Entschädigung erhalten.
MarketWhisper3Std her
Forscher legt kritische CVSS-7.1-Null-Day-Sicherheitslücke in der Cosmos-Konsensschicht CometBFT offen
Der Sicherheitsexperte Doyeon Park hat einen CVSS-7.1-Null-Day im Cosmos-Subsystem CometBFT offengelegt, der potenziell zu Knotenstopps während der Synchronisierung führen kann; Widerstand des Herstellers, Downgrades und die Offenlegung führten zur Enthüllung am 21. April; Validatoren sollten Neustarts vermeiden, bevor das Patch veröffentlicht wird.
Zusammenfassung: Der Sicherheitsexperte Doyeon Park hat eine kritische CVSS-7.1-Null-Day-Sicherheitslücke in der Konsensschicht von Cosmos' CometBFT offengelegt, die dazu führen könnte, dass Knoten während der Block-Synchronisierung einfrieren und möglicherweise Netzwerke beeinträchtigen, die Vermögenswerte im Wert von über $8 Milliarden an Absicherungen sichern. Die Sicherheitslücke kann nicht direkt Gelder stehlen. Park verfolgte eine koordinierte Offenlegung ab dem 22. Februar, sah sich jedoch mit Widerstand des Herstellers gegen eine öffentliche Offenlegung und Problemen mit HackerOne konfrontiert. Der Hersteller stufte eine verwandte Schwachstelle (CVE-2025-24371) am 6. März auf „informational“ ab und veranlasste Park dazu, noch vor der öffentlichen Offenlegung am 21. April einen Proof-of-Concept auf Netzwerkebene zu veröffentlichen. In der Empfehlung heißt es, dass Cosmos-Validatoren Knoten vermeiden sollten, neu zu starten, bis Patches veröffentlicht sind; Knoten, die sich bereits im Konsens befinden, können weiterarbeiten, aber ein Neustart und erneutes Synchronisieren könnte sie Angriffen durch böswillige Peers aussetzen, wodurch ein Deadlock riskiert wird.
GateNews3Std her
