Peneliti keamanan Doyeon Park pada 21 April mengungkapkan secara publik bahwa terdapat kerentanan zero-day tingkat berbahaya (high) dengan skor CVSS 7.1 pada lapisan konsensus Cosmos, yakni CometBFT, yang berpotensi membuat node diserang oleh rekan-rekan (peers) berbahaya pada tahap sinkronisasi blok (BlockSync) hingga masuk ke kondisi deadlock, sehingga memengaruhi jaringan yang menjamin lebih dari 8 miliar dolar AS aset.
Prinsip teknis kerentanan: laporan ketinggian yang sangat tinggi yang menipu menyebabkan deadlock tanpa batas
Kerentanan ini terdapat pada mekanisme BlockSync di CometBFT. Dalam kondisi normal, saat terhubung, peer akan melaporkan ketinggian blok terbaru yang terus meningkat (latest). Namun, kode yang ada tidak memverifikasi skenario ketika peer terlebih dahulu melaporkan ketinggian X lalu melaporkan ketinggian yang lebih rendah Y—misalnya melaporkan 2000 terlebih dahulu, lalu melaporkan 1001. Pada situasi ini, node dalam sinkronisasi, yang disebut node A, akan menunggu selamanya untuk mengejar ketinggian 2000, bahkan jika peer berbahaya memutus koneksi, karena target height tidak dihitung ulang, sehingga node masuk ke deadlock tanpa batas, tidak dapat bergabung kembali ke jaringan. Versi yang terdampak adalah <= v0.38.16 dan v1.0.0, sedangkan versi yang sudah diperbaiki adalah v1.0.1 dan v0.38.17.
Kegagalan koordinasi pengungkapan: garis waktu lengkap ketika vendor menurunkan peringkat CVE
Park mengikuti proses standar koordinasi pengungkapan kerentanan (CVD), tetapi berkali-kali menghadapi hambatan dalam prosesnya: pada 22 Februari Park mengajukan laporan pertama, vendor meminta agar laporan diserahkan dalam bentuk公开 GitHub issue tetapi menolak pengungkapan publik; pada 4 Maret laporan kedua diberi label sebagai spam oleh HackerOne; pada 6 Maret vendor secara mandiri menurunkan tingkat keparahan kerentanan dari “sedang/tinggi” menjadi “informatif (dampak dapat diabaikan)”, lalu Park mengajukan proof of concept (PoC) tingkat jaringan untuk membantahnya; pada 21 April akhirnya diputuskan untuk mengungkapkannya secara publik.
Park juga menyebutkan bahwa vendor sebelumnya telah melakukan operasi penurunan peringkat yang serupa terhadap CVE-2025-24371, sebuah kerentanan dengan dampak yang sama, dan tindakan tersebut dinilai melanggar standar penilaian kerentanan internasional yang diakui seperti CVSS.
Panduan darurat: tindakan yang perlu dilakukan verifikator sekarang
Sebelum patch resmi dideploy, Park menyarankan agar semua verifikator Cosmos sedapat mungkin menghindari melakukan restart node. Node yang sudah berada dalam mode konsensus dapat terus beroperasi secara normal; namun jika restart dilakukan dan masuk ke proses sinkronisasi BlockSync, node berpotensi terkena deadlock akibat serangan dari peer berbahaya.
Sebagai mitigasi sementara: jika ditemukan BlockSync yang macet, dapat mengidentifikasi peer yang melaporkan ketinggian yang tidak valid melalui peningkatan level log, lalu memblokir node tersebut di lapisan P2P. Solusi paling mendasar adalah melakukan upgrade secepat mungkin ke versi yang sudah diperbaiki, yakni v1.0.1 atau v0.38.17.
Pertanyaan yang sering diajukan
Apakah kerentanan ini di CometBFT bisa langsung mencuri aset?
Tidak. Kerentanan ini tidak dapat langsung mencuri aset atau membahayakan keamanan dana di rantai. Dampaknya adalah menyebabkan node deadlock pada tahap sinkronisasi BlockSync, sehingga node tidak dapat berpartisipasi dengan normal dalam jaringan, yang dapat memengaruhi kemampuan verifikator untuk membuat blok dan melakukan pemungutan suara, sehingga berdampak pada aktivitas blockchain terkait.
Bagaimana verifikator dapat menilai apakah sebuah node telah diserang oleh kerentanan ini?
Jika sebuah node macet pada tahap BlockSync, berhentinya penambahan ketinggian target merupakan indikasi yang mungkin. Dapat meningkatkan level log modul BlockSync, lalu memeriksa apakah ada catatan peer yang menerima pesan ketinggian yang tidak normal, untuk mengidentifikasi peer berbahaya yang potensial, dan memblokirnya di lapisan P2P.
Apakah vendor menurunkan peringkat kerentanan menjadi “informatif” sesuai standar?
Skor CVSS Park (7.1, high/berbahaya) didasarkan pada metode penilaian standar internasional, dan Park mengirimkan PoC tingkat jaringan yang dapat diverifikasi untuk membantah keputusan penurunan peringkat tersebut. Vendor menurunkannya menjadi “dampak dapat diabaikan” yang dinilai oleh komunitas keamanan melanggar standar penilaian kerentanan internasional yang diakui seperti CVSS; kontroversi ini juga menjadi salah satu alasan utama bagi Park untuk akhirnya memutuskan mengungkapkannya secara publik.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Penyerang Venus Protocol memindahkan 2301 ETH, mengalir ke Tornado Cash untuk dicuci
Berdasarkan pemantauan analis on-chain Ai Bibi pada 22 April, penyerang Venus Protocol mentransfer 2.301 ETH (sekitar 5,32 juta dolar AS) ke alamat 0xa21…23A7f dari 11 jam yang lalu, kemudian secara bertahap memindahkan dana tersebut ke mixer kripto Tornado Cash untuk melakukan pencucian; hingga saat pemantauan, penyerang masih memegang sekitar 17,45 juta dolar AS dalam bentuk ETH di rantai.
MarketWhisper1jam yang lalu
Grup Lazarus Korea Utara Merilis Malware macOS Baru Mach-O Man yang Menargetkan Kripto
Ringkasan: Lazarus Group merilis toolkit malware asli macOS bernama Mach-O Man, yang ditujukan untuk platform kripto dan eksekutif bernilai tinggi; SlowMist memperingatkan pengguna untuk berhati-hati terhadap serangan.
Abstrak: Artikel ini melaporkan bahwa Lazarus Group telah meluncurkan Mach-O Man, sebuah toolkit malware asli macOS yang ditujukan untuk platform cryptocurrency dan eksekutif bernilai tinggi. SlowMist memperingatkan pengguna untuk berhati-hati guna mengurangi potensi serangan.
GateNews2jam yang lalu
Selat Hormuz muncul penipuan tol Bitcoin, kapal ditembak meski sudah membayar
Menurut CoinDesk pada 22 April, perusahaan layanan risiko maritim Yunani, Marisks, mengeluarkan peringatan yang menyatakan para penipu menyamar sebagai otoritas Iran dan mengirim pesan kepada beberapa perusahaan pelayaran untuk meminta Bitcoin atau USDT sebagai “biaya tol” untuk melewati Selat Hormuz. Marisks mengonfirmasi bahwa pesan-pesan terkait tidak berasal dari saluran resmi Iran, dan, menurut laporan Reuters, menyatakan bahwa mereka percaya setidaknya satu kapal menjadi korban penipuan dan, pada akhir pekan saat mencoba melintas, tetap terkena tembakan artileri.
MarketWhisper2jam yang lalu
Pembaruan insiden keamanan RHEA Finance: Masih ada kekurangan sekitar 400.000 dolar AS, berkomitmen untuk membayar penuh ganti rugi
RHEA Finance merilis pembaruan lanjutan untuk insiden keamanan pada 16 April, mengonfirmasi bahwa dalam upaya pemulihan aset telah dicapai kemajuan yang nyata; hingga pembaruan ini, diperkirakan masih ada kekurangan dana sekitar 400 ribu dolar AS, terutama berasal dari kombinasi NEAR, USDT, dan USDC dalam kumpulan dana pasar pinjaman. RHEA Finance berjanji akan menutupi sepenuhnya setiap kekurangan yang tersisa, memastikan semua pengguna yang terdampak menerima kompensasi penuh.
MarketWhisper2jam yang lalu
Peneliti Mengungkap Kerentanan Zero-Day Kritis CVSS 7.1 pada Lapisan Konsensus Cosmos CometBFT
Peneliti keamanan Doyeon Park mengungkap kerentanan zero-day CVSS 7.1 di Cosmos' CometBFT yang berpotensi menyebabkan node membeku saat sinkronisasi; penolakan dari vendor, penurunan tingkat, dan pengungkapan mendorong pengungkapan pada 21 April; validator seharusnya menghindari restart sebelum patch.
Abstrak: Peneliti keamanan Doyeon Park mengungkap kerentanan zero-day kritis CVSS 7.1 pada lapisan konsensus CometBFT di Cosmos yang dapat menyebabkan node membeku selama sinkronisasi blok, berpotensi memengaruhi jaringan yang mengamankan lebih dari $8 miliar aset. Kerentanan ini tidak dapat secara langsung mencuri dana. Park memulai pengungkapan terkoordinasi mulai 22 Februari, tetapi menghadapi penolakan vendor terhadap pengungkapan publik dan masalah dengan HackerOne. Vendor menurunkan kerentanan terkait (CVE-2025-24371) menjadi tingkat informasional pada 6 Maret, mendorong Park merilis bukti konsep tingkat jaringan sebelum pengungkapan publik pada 21 April. Advisory tersebut merekomendasikan validator Cosmos menghindari melakukan restart node sampai patch dirilis; node yang sudah berada dalam konsensus dapat terus beroperasi, tetapi restart dan masuk ke sinkronisasi ulang dapat membuat mereka rentan terhadap serangan dari rekan berbahaya, sehingga berisiko menimbulkan deadlock.
GateNews2jam yang lalu
Penyerang Venus Memindahkan 2.301 ETH ke Mixer, Tornado Cash Digunakan untuk Pencucian
Analisis on-chain melacak penyerang protokol Venus yang memindahkan 2.301 ETH (~$5,32M) ke sebuah alamat yang diduga, lalu melakukan penggabungan melalui Tornado Cash; sekitar $17,45M tetap ada di rantai.
Abstrak: Catatan ini merangkum aktivitas on-chain yang terkait dengan penyerang protokol Venus, termasuk pemindahan 2.301 ETH (~$5,32M) ke sebuah alamat dan pencampuran batch melalui Tornado Cash, dengan sekitar $17,45M masih ditahan di rantai.
GateNews2jam yang lalu
