A investigadora de segurança Doyeon Park revelou em 21 de abril a existência de uma vulnerabilidade zero-day de criticidade alta com nível CVSS 7.1 na camada de consenso do Cosmos, o CometBFT. A falha pode permitir que nós sejam atacados por pares maliciosos durante a fase de sincronização de blocos (BlockSync), acabando por entrar em deadlock (bloqueio permanente), afetando uma rede que protege ativos no valor de mais de 8 mil milhões de dólares.
Princípio técnico da vulnerabilidade: deadlock infinito causado por manipulação altamente reportada de nós maliciosos
A vulnerabilidade reside no mecanismo de BlockSync do CometBFT. Em condições normais, aquando da ligação os pares reportam alturas mais recentes (latest) de forma incremental. No entanto, o código atual não valida o cenário em que um par reporta primeiro uma altura X e depois reporta uma altura inferior Y — por exemplo, reportar primeiro 2000 e, em seguida, 1001. Neste caso, o nó A na sincronização ficará à espera, de forma permanente, de alcançar a altura 2000, mesmo que o nó malicioso se desligue; a altura-alvo não é recalculada, levando o nó a entrar em deadlock infinito, incapaz de se reintegrar na rede. As versões afetadas são <= v0.38.16 e v1.0.0; as versões corrigidas são v1.0.1 e v0.38.17.
Falha na divulgação coordenada: linha temporal completa da degradação do CVE pelo fornecedor
Park seguiu o processo padrão de divulgação coordenada de vulnerabilidades (CVD), mas encontrou obstáculos várias vezes durante o processo: a 22 de fevereiro submeteu o primeiro relatório; o fornecedor pediu que fosse submetido sob a forma de uma issue pública no GitHub, mas recusou a divulgação pública; a 4 de março, o segundo relatório foi marcado pela HackerOne como spam; a 6 de março, o fornecedor reduziu por conta própria a gravidade da vulnerabilidade de “médio/alto” para “informativa (impacto negligenciável)”, e Park submeteu uma prova de conceito (PoC) a nível de rede para refutar essa decisão; a 21 de abril foi tomada finalmente a decisão de divulgar publicamente.
Park também referiu que o fornecedor tinha efetuado previamente uma operação de degradação semelhante para o CVE-2025-24371, uma vulnerabilidade com efeitos semelhantes, o que é considerado violar normas internacionalmente reconhecidas para avaliação de vulnerabilidades, como o CVSS.
Orientações de emergência: ações que os validadores precisam de tomar agora
Antes da implementação oficial do patch, Park recomenda que todos os validadores do Cosmos evitem ao máximo reiniciar os nós. Os nós que já se encontram no modo de consenso podem continuar a funcionar normalmente; no entanto, se forem reiniciados e entrarem no processo de sincronização BlockSync, poderão entrar em deadlock devido a um ataque por parte de nós maliciosos.
Como medida de mitigação temporária: se for detetado que o BlockSync ficou “preso”, pode-se identificar os pares maliciosos que reportam alturas inválidas aumentando o nível de registo (log), e bloquear esse nó na camada P2P. A solução mais fundamental é fazer upgrade o mais rapidamente possível para as versões corrigidas v1.0.1 ou v0.38.17.
Perguntas frequentes
Esta vulnerabilidade do CometBFT consegue roubar ativos diretamente?
Não. Esta vulnerabilidade não consegue roubar ativos diretamente nem comprometer a segurança dos fundos na cadeia. O seu impacto é fazer com que os nós entrem em deadlock na fase de sincronização BlockSync, impedindo que os nós participem corretamente na rede. Isto pode afetar a capacidade dos validadores de propor blocos (propor) e de votar, afetando assim a atividade das cadeias de blocos relacionadas.
Como é que os validadores podem determinar se um nó foi atacado por esta vulnerabilidade?
Se um nó ficar preso na fase BlockSync, a paragem da progressão da altura-alvo é um sinal possível. Pode-se aumentar o nível de registo do módulo BlockSync para verificar se há registos de pares que tenham enviado mensagens de altura anormais, permitindo identificar potenciais nós maliciosos e bloqueá-los na camada P2P.
O facto de o fornecedor ter degradado a vulnerabilidade para “informativa” cumpre os padrões?
A pontuação CVSS de Park (7.1, alta) baseia-se no método padrão internacional de avaliação, e Park apresentou uma PoC verificável a nível de rede para refutar a decisão de degradação. O facto de o fornecedor a ter reduzido para “impacto negligenciável” é considerado pela comunidade de segurança como uma violação das normas internacionalmente reconhecidas para avaliação de vulnerabilidades, como o CVSS. Esta controvérsia é também uma das razões centrais para Park ter decidido, por fim, divulgar publicamente.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
SlowMist 23pds aviso: O grupo Lazarus publicou um novo kit de ferramentas para macOS direcionado a criptomoedas
O antigo director de segurança da informação (CISO) da Mad Fog, 23pds, emitiu um aviso a 22 de abril, afirmando que o grupo de hackers norte-coreano Lazarus Group lançou um novo kit de ferramentas de malware nativo para macOS, “Mach-O Man”, concebido especificamente para o sector das criptomoedas e para executivos de empresas de elevado valor.
MarketWhisper19m atrás
O atacante do Venus Protocol transferiu 2301 ETH, transferindo para o Tornado Cash para limpeza
De acordo com uma análise on-chain da analista de Ai “Ai A姨” a 22 de abril, os atacantes do Venus Protocol transferiram 2.301 ETH (cerca de 5,32 milhões de dólares) para o endereço 0xa21…23A7f há 11 horas; em seguida, enviaram os fundos em lotes para o misturador cripto Tornado Cash para os lavar; até ao momento da monitorização, o atacante ainda detinha cerca de 17,45 milhões de dólares em ETH na cadeia.
MarketWhisper2h atrás
O Grupo Lazarus da Coreia do Norte Lança Novo Malware para macOS Mach-O Man com Foco em Cripto
Resumo: O Lazarus Group lançou um kit de malware nativo para macOS chamado Mach-O Man, destinado a plataformas de cripto e a executivos de alto valor; a SlowMist alerta os utilizadores para exercerem cautela contra ataques.
Abstract: O artigo relata que o Lazarus Group revelou o Mach-O Man, um kit de malware nativo para macOS destinado a plataformas de criptomoeda e a executivos de alto valor. A SlowMist alerta os utilizadores para exercerem cautela para mitigar potenciais ataques.
GateNews3h atrás
Uma fraude de portagens em Bitcoin surge no Estreito de Ormuz: um navio é atacado mesmo depois de pagar
Segundo a CoinDesk, a 22 de abril, a empresa de serviços de risco marítimo Marisks emitiu um aviso, afirmando que os burlões se fazem passar por autoridades iranianas para enviar mensagens a várias empresas de navegação, exigindo Bitcoin ou USDT como “portagem” para atravessar o Estreito de Ormuz. A Marisks confirmou que as mensagens em questão não provêm de canais oficiais iranianos e, de acordo com a Reuters, disse que acredita que pelo menos um navio terá sido enganado, tendo ainda sido alvo de fogo de artilharia quando, durante o fim de semana, tentou passar.
MarketWhisper3h atrás
Atualização do incidente de segurança da RHEA Finance: ainda falta aproximadamente 400 000 dólares, compromisso de reembolso total
A RHEA Finance publicou uma atualização subsequente sobre o incidente de segurança de 16 de abril, confirmando que foram alcançados progressos substanciais na recuperação dos ativos; até esta atualização, estima-se que ainda exista uma lacuna de cerca de 400.000 dólares, principalmente devido à combinação de NEAR, USDT e USDC no pool de fundos do mercado de empréstimos. A RHEA Finance compromete-se a compensar integralmente qualquer lacuna remanescente, garantindo que todos os utilizadores afetados recebam uma compensação completa.
MarketWhisper3h atrás
Investigadora Revela Vulnerabilidade Zero-Day Crítica com CVSS 7,1 na Camada de Consenso da Cosmos CometBFT
A investigadora de segurança Doyeon Park divulgou uma vulnerabilidade zero-day com CVSS 7,1 no CometBFT da Cosmos, que pode provocar bloqueios de nós durante a sincronização; a resistência do fornecedor, as desvalorizações e a divulgação levaram a uma revelação a 21 de abril; os validadores devem evitar reinícios antes da aplicação da correção.
Resumo: A investigadora de segurança Doyeon Park divulgou uma vulnerabilidade zero-day crítica com CVSS 7,1 na camada de consenso do CometBFT da Cosmos, que poderia fazer os nós congelarem durante a sincronização de blocos, potencialmente afetando redes que protegem mais de $8 biliões em ativos. A vulnerabilidade não consegue, por si só, furtar fundos. Park deu início a uma divulgação coordenada a partir de 22 de fevereiro, mas enfrentou resistência do fornecedor à divulgação pública e problemas com a HackerOne. O fornecedor desclassificou uma vulnerabilidade relacionada (CVE-2025-24371) para “informational” a 6 de março, levando Park a disponibilizar uma prova de conceito a nível de rede antes da divulgação pública a 21 de abril. O aviso recomenda que os validadores da Cosmos evitem reiniciar nós até que as correções sejam disponibilizadas; os nós que já estiverem em consenso podem continuar, mas o reinício e a re-sincronização poderão expô-los a ataques por pares maliciosos, com risco de deadlock.
GateNews3h atrás
