安全研究員 Doyeon Park 於 4 月 21 日公開揭露 Cosmos 共識層 CometBFT 中存在一個 CVSS 7.1 級高危零日漏洞,可能導致節點在區塊同步(BlockSync)階段遭惡意對等節點攻擊而陷入死鎖,影響保障超 80 億美元資產的網路。
漏洞技術原理:惡意節點高度報告操縱致無限死鎖
漏洞存在於 CometBFT 的 BlockSync 機制中。正常情況下,對等節點在連接時會報告遞增的最新區塊高度(latest)。然而,現有代碼未驗證對等節點先報告高度 X 後再報告更低高度 Y 的情況——例如先報告 2000,再報告 1001。此時,同步中的節點 A 將永久等待追上高度 2000,即使惡意節點斷線,目標高度也不會重新計算,導致節點陷入無限死鎖,無法重新加入網路。受影響版本為 <= v0.38.16 和 v1.0.0,已修補版本為 v1.0.1 和 v0.38.17。
協調披露失敗:供應商降級 CVE 的完整時間軸
Park 遵循了標準的協調漏洞披露(CVD)流程,但過程多次遭遇阻礙:2 月 22 日提交首份報告,供應商要求以公開 GitHub issue 形式提交但拒絕公開披露;3 月 4 日第二份報告被 HackerOne 標記為垃圾郵件;3 月 6 日供應商將漏洞嚴重程度從「中等/高」自行降級為「資訊性(影響可忽略不計)」,Park 提交網路級概念驗證(PoC)予以反駁;4 月 21 日最終決定公開披露。
Park 還指出,供應商此前曾對具有相同影響的漏洞 CVE-2025-24371 進行類似的降級操作,被認為違反了 CVSS 等公認的國際漏洞評估標準。
緊急指引:驗證者現在需要採取的行動
在補丁正式部署前,Park 建議所有 Cosmos 驗證者盡可能避免重啟節點。已處於共識模式的節點可以繼續正常運行;但如果重新啟動並進入 BlockSync 同步過程,可能因遭受惡意節點攻擊而陷入死鎖。
作為臨時緩解措施:若發現 BlockSync 卡住,可通過提高日誌等級識別報告無效高度的惡意對等節點,並在 P2P 層封鎖該節點。最根本的解決方案是盡快升級至已修補的 v1.0.1 或 v0.38.17 版本。
常見問題
CometBFT 的這個漏洞是否能直接竊取資產?
不能。此漏洞無法直接竊取資產或危及鏈上資金安全。其影響是導致節點在 BlockSync 同步階段陷入死鎖,使節點無法正常參與網路,可能影響驗證者的出塊和投票能力,進而影響相關區塊鏈的活躍性。
驗證者如何判斷節點是否已遭受此漏洞攻擊?
如果節點在 BlockSync 階段卡住,目標高度停止增加是一個可能的跡象。可以提高 BlockSync 模組的日誌等級,查看是否有接收到異常高度訊息的對等節點記錄,從而識別潛在的惡意節點,並在 P2P 層進行封鎖。
供應商將漏洞降級為「資訊性」是否符合標準?
Park 的 CVSS 評分(7.1,高危)基於標準國際評分方法,且 Park 提交了可驗證的網路級 PoC 以反駁降級決定。供應商將其降為「影響可忽略不計」被安全社群認為違反了 CVSS 等公認的國際漏洞評估標準,這一爭議也是 Park 最終決定公開披露的核心原因之一。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
ZachXBT Warns Against Bitcoin Depot ATM Over 44% Bitcoin Markup
ZachXBT warns Bitcoin Depot ATMs impose steep premiums—$25k fiat at $108k/BTC vs ~$75k market (about 44%), leading to ~ $7.5k loss on 0.232 BTC; also notes a $3.26M security breach.
This article summarizes ZachXBT's warnings about Bitcoin Depot's pricing practices and a recent security breach, highlighting risks from inflated rates and security lapses for users.
GateNews1小時前
隱私協議 Umbra 關閉前端以阻止攻擊者洗錢 Kelp 遭竊資金
Gate News 消息,4 月 22 日——隱私協議 Umbra 已關閉其前端網站,以防攻擊者利用該協議轉移遭竊資金;此舉是在近期多起攻擊之後做出的,包括 Kelp 協議遭入侵,造成損失超過 $280 million。約有 $800,000 的遭竊資金在 Umbra 上被轉移,
GateNews3小時前
慢霧 23pds 警示:Lazarus Group 發布針對加密貨幣的新型 macOS 工具包
慢霧首席資訊安全長 23pds 於 4 月 22 日發布警示,稱北韓駭客組織 Lazarus Group 已發布全新原生 macOS 惡意軟體工具包「Mach-O Man」,專門針對加密貨幣行業及高價值企業高管。
Market Whisper4小時前
Venus Protocol 攻擊者轉移 2301 枚 ETH,流入 Tornado Cash 清洗
根據鏈上分析師 Ai 阿姨於 4 月 22 日的監測,Venus Protocol 攻擊者在 11 小時前向地址 0xa21…23A7f 轉移 2,301 枚 ETH(約 532 萬美元),隨後將資金分批轉入加密混合器 Tornado Cash 進行清洗;截至監測時,攻擊者鏈上仍持有約 1,745 萬美元的 ETH。
Market Whisper7小時前
北韓 Lazarus Group 發布新款 Mach-O Man macOS 惡意程式,鎖定加密領域
摘要:Lazarus Group 發布了一套名為 Mach-O Man 的原生 macOS 惡意程式工具包,旨在針對加密平台與高價值主管;SlowMist 提醒使用者在遭受攻擊時要保持謹慎。
摘要:本文報告指出,Lazarus Group 已推出 Mach-O Man,一套面向加密貨幣平台與高價值主管的原生 macOS 惡意程式工具包。SlowMist 提醒使用者提高警惕,以降低潛在攻擊風險。
GateNews7小時前
