La investigadora de seguridad Doyeon Park reveló el 21 de abril que en la capa de consenso de Cosmos, CometBFT, existe una vulnerabilidad de día cero de gravedad alta con nivel 7.1 según CVSS, que podría permitir que nodos sean atacados por pares maliciosos durante la fase de sincronización de bloques (BlockSync) y queden en un estado de interbloqueo, afectando una red que protege activos por más de 8.000 millones de dólares.
Principio técnico de la vulnerabilidad: reportes altamente manipulados de altura por parte de nodos maliciosos que provocan un interbloqueo infinito
La vulnerabilidad se encuentra en el mecanismo de BlockSync de CometBFT. En condiciones normales, cuando un par se conecta, informa una altura más reciente y creciente (latest). Sin embargo, el código actual no valida el caso en que el par informe primero una altura X y luego una altura inferior Y; por ejemplo, informa primero 2000 y luego 1001. En ese momento, el nodo en sincronización A esperará permanentemente para alcanzar la altura 2000, incluso si el nodo malicioso se desconecta; y la altura objetivo no se recalcula, lo que hace que el nodo entre en un interbloqueo infinito, sin poder reincorporarse a la red. Las versiones afectadas son <= v0.38.16 y v1.0.0, y las versiones corregidas son v1.0.1 y v0.38.17.
Fallo en la divulgación coordinada: cronología completa de cómo el proveedor degradó el CVE
Park siguió el proceso estándar de divulgación coordinada de vulnerabilidades (CVD), pero en varias ocasiones encontró obstáculos: el 22 de febrero presentó el primer informe; el proveedor pidió que se enviara como un issue público en GitHub, pero se negó a realizar la divulgación pública; el 4 de marzo, el segundo informe fue marcado por HackerOne como correo basura; el 6 de marzo, el proveedor degradó la severidad de la vulnerabilidad de “media/alta” por su cuenta a “informativa (el impacto puede ignorarse)”, y Park presentó una prueba de concepto (PoC) a nivel de red para refutar la degradación; el 21 de abril se tomó finalmente la decisión de divulgarla públicamente.
Park también señaló que, anteriormente, el proveedor había realizado una operación similar de degradación del CVE-2025-24371, una vulnerabilidad con el mismo impacto, y se considera que esto viola los estándares internacionales de evaluación de vulnerabilidades reconocidos como CVSS.
Guía de emergencia: acciones que los validadores deben tomar ahora
Antes de que el parche se implemente de forma oficial, Park recomienda que todos los validadores de Cosmos eviten reiniciar los nodos en la medida de lo posible. Los nodos que ya están en modo de consenso pueden seguir funcionando con normalidad; pero si se reinician y entran en el proceso de sincronización BlockSync, podrían quedar en un interbloqueo debido al ataque de nodos maliciosos.
Como mitigación temporal: si se detecta que BlockSync se queda atascado, se puede identificar a los pares maliciosos que reportan alturas no válidas elevando el nivel de registro (logs) y bloquear ese nodo en la capa P2P. La solución más fundamental es actualizar lo antes posible a las versiones corregidas v1.0.1 o v0.38.17.
Preguntas frecuentes
¿Esta vulnerabilidad de CometBFT puede robar activos directamente?
No. Esta vulnerabilidad no puede robar activos directamente ni comprometer la seguridad de fondos en la cadena. Su impacto consiste en que los nodos caen en un interbloqueo durante la fase de sincronización BlockSync, lo que impide que los nodos participen normalmente en la red. Esto podría afectar la capacidad de los validadores para proponer bloques y votar, y en consecuencia afectar la actividad de las cadenas de bloques relacionadas.
¿Cómo pueden los validadores determinar si un nodo ya ha sido atacado por esta vulnerabilidad?
Si un nodo se queda atascado en la fase BlockSync, que la altura objetivo deje de aumentar es una señal posible. Se puede aumentar el nivel de registro del módulo BlockSync y revisar si hay registros de pares que hayan enviado mensajes de altura anómalos, para identificar posibles nodos maliciosos y bloquearlos en la capa P2P.
¿Es estándar que el proveedor degrade la vulnerabilidad como “informativa”?
La calificación CVSS de Park (7.1, alta) se basa en el método estándar internacional de puntuación, y Park envió una PoC a nivel de red verificable para refutar la decisión de degradación. Que el proveedor la haya degradado a “el impacto puede ignorarse” es considerado por la comunidad de seguridad como una violación de estándares internacionales de evaluación de vulnerabilidades reconocidos como CVSS; esta controversia también es una de las razones centrales por las que Park decidió divulgarla finalmente de forma pública.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
SlowMist 23pds Aviso: El Grupo Lazarus publica un nuevo kit de herramientas de macOS dirigido a las criptomonedas
El director de información de SlowMist, 23pds, emitió una advertencia el 22 de abril, afirmando que el grupo de hackers de Corea del Norte Lazarus Group ha publicado un nuevo kit de herramientas de malware nativo de macOS, «Mach-O Man», diseñado específicamente para la industria de las criptomonedas y para ejecutivos de empresas de alto valor.
MarketWhisperHace19m
El atacante de Venus Protocol mueve 2301 ETH, entra en Tornado Cash para blanquear
Según el seguimiento del analista on-chain Ai Ayi el 22 de abril, el atacante de Venus Protocol transfirió 2.301 ETH (aprox. 5,32 millones de dólares) desde hace 11 horas a la dirección 0xa21…23A7f; posteriormente, envió los fondos en lotes a un mezclador cripto Tornado Cash para blanquearlos. Al momento del seguimiento, el atacante aún mantenía en cadena aproximadamente 17,45 millones de dólares en ETH.
MarketWhisperhace2h
El grupo norcoreano Lazarus lanza un nuevo malware para macOS Mach-O Man dirigido a cripto
Resumen: Lazarus Group lanzó un kit de malware nativo para macOS llamado Mach-O Man, dirigido a plataformas de criptomonedas y a ejecutivos de alto valor; SlowMist advierte a los usuarios que tengan cuidado contra los ataques.
Resumen: El artículo informa que Lazarus Group ha presentado Mach-O Man, un kit de malware nativo para macOS dirigido a plataformas de criptomonedas y a ejecutivos de alto valor. SlowMist advierte a los usuarios que tengan cuidado para mitigar posibles ataques.
GateNewshace3h
El Estrecho de Ormuz presenta una estafa de peajes en Bitcoin: un barco paga y aun así es atacado con artillería
Según CoinDesk, el 22 de abril, la empresa de servicios de riesgos marítimos Marisks emitió una advertencia: los estafadores haciéndose pasar por autoridades iraníes enviaron mensajes a varias compañías navieras para solicitar Bitcoin o USDT como “peaje” por el paso por el Estrecho de Ormuz. Marisks confirmó que los mensajes relacionados no proceden de canales oficiales de Irán y, según informó Reuters, indicó que cree que al menos un barco cayó en la trampa, y que durante el fin de semana, al intentar pasar, aún fue alcanzado por disparos.
MarketWhisperhace3h
Actualización del incidente de seguridad de RHEA Finance: queda un déficit de aproximadamente 400.000 USD, compromiso de reembolsar el importe íntegro
RHEA Finance publica una actualización de seguimiento sobre el incidente de seguridad del 16 de abril, confirmando avances sustanciales en la recuperación de activos; a la fecha de esta actualización, se estima que todavía existe un déficit de alrededor de 400.000 dólares, principalmente derivado de la combinación de NEAR, USDT y USDC en el fondo de liquidez del mercado de préstamos. RHEA Finance se compromete a cubrir cualquier déficit restante en su totalidad, para garantizar que todos los usuarios afectados reciban una compensación completa.
MarketWhisperhace3h
El investigador divulga una vulnerabilidad zero-day crítica con CVSS 7.1 en la capa de consenso de Cosmos CometBFT
El investigador de seguridad Doyeon Park reveló una vulnerabilidad zero-day con CVSS 7.1 en CometBFT de Cosmos que podría causar bloqueos potenciales de los nodos durante la sincronización; la resistencia del proveedor, las degradaciones y la divulgación condujeron a la revelación del 21 de abril; los validadores deberían evitar reinicios antes de que se aplique la solución.
Resumen: El investigador de seguridad Doyeon Park reveló una vulnerabilidad crítica zero-day con CVSS 7.1 en la capa de consenso de CometBFT de Cosmos que podría hacer que los nodos se congelen durante la sincronización de bloques, y que potencialmente afectaría a redes que protegen más de $8 billion en activos. La vulnerabilidad no puede robar fondos directamente. Park persiguió una divulgación coordinada a partir del 22 de febrero, pero se enfrentó a la resistencia del proveedor para la divulgación pública y a problemas con HackerOne. El proveedor degradó una vulnerabilidad relacionada (CVE-2025-24371) a nivel informativo el 6 de marzo, lo que llevó a Park a publicar una prueba de concepto a nivel de red antes de la divulgación pública el 21 de abril. El aviso recomienda que los validadores de Cosmos eviten reiniciar nodos hasta que se publiquen los parches; los nodos que ya están en consenso pueden continuar, pero reiniciar y volver a sincronizar podría exponerlos a ataques por parte de pares maliciosos, con riesgo de interbloqueo.
GateNewshace3h
