Gate News 訊息,4 月 22 日——安全研究員 Doyeon Park 揭露了 Cosmos 共識層 CometBFT 中一個關鍵 CVSS 7.1 零日漏洞,可能導致節點在區塊同步期間凍結,進而可能影響保護 $8 十億元以上資產的網路。該漏洞無法直接竊取資金。
Park 於 2 月 22 日啟動協調披露流程,但遭到廠商的抵制;廠商要求提交公開的 GitHub 問題,卻拒絕進行公開披露。3 月 4 日,HackerOne 將他的第二份通報標記為垃圾訊息。3 月 6 日,廠商將相關漏洞 (CVE-2025-24371) 任意降級為「資訊等級」,並駁回國際標準。Park 在 4 月 21 日公開披露該缺陷之前,提交了網路層級的概念驗證以反制這一決定。
Park 建議 Cosmos 的驗證者在發布修補程式前避免重啟節點。已處於共識模式的節點可持續運作,但重啟並進入同步可能使其遭受惡意對等方的攻擊,並可能導致死鎖。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
Ekubo Protocol 透過基於授權的攻擊被掏空 140 萬美元的 WBTC
根據區塊鏈安全公司 Blockaid,Ekubo Protocol 最近損失了約 140 萬美元的包裝比特幣(WBTC),原因是攻擊者在其 EVM 交易路由合約中利用了存取控制缺陷。攻擊者繞過了付款驗證機制,從錢包中掏空資金
GateNews3小時前
北韓恐怖攻擊受害者提出 $71M 主張,向 Aave 駭客提起訴訟,並將攻擊重新定性為詐欺
三起北韓恐怖攻擊案件受害者的律師週二提交了一份 30 頁的回應,將 4 月 18 日的 Aave 駭客事件重新定義為詐欺而非竊盜——這項法律上的區分可能使攻擊者取得對所借用加密貨幣的合法所有權。受害者正尋求追回約 7100 萬美元
GateNews6小時前
加密貨幣鯨魚就凍結的 $55M DAI 盜竊資金起訴 Coinbase
一名匿名加密鯨魚,身分被認定為「D.B.」,根據一份法院文件,於週一對 Coinbase 以及一名涉嫌竊賊提起訴訟,原因是交易所拒絕歸還與 2024 年 8 月一次加密資安竊案相關、遭凍結的資金。原告在此次事件中損失了約 5,500 萬美元價值的 DAI,發生於……
Crypto Frontier7小時前
比特幣核心(Bitcoin Core)揭露一項漏洞,可能讓礦工使節點崩潰
比特幣核心(Bitcoin Core)開發者披露了一個高嚴重度漏洞,可能允許礦工遠端使某些比特幣節點崩潰。
摘要
Bitcoin Core 披露了 CVE-2024-52911,影響 29.0 之前的版本,而較舊的節點仍然暴露在網路上。
礦工需要成本高昂的工作量證明區塊才能觸發
Cryptonews 9小時前
北韓恐攻判決持有人升級爭奪 7,100 萬美元 Aave 凍結資產:援引反恐保險法
北韓恐攻案升溫,7,100萬美金Aave凍結資產進入第三回合。原告改以TRIA法主張ETH屬北韓國家財產,強調詐欺而非竊盗以突破小偷不擁有贓物抗辯,同時挑戰Aave的standing與治理地位。DeFi United募資逾3.28億美元,基金充足以補償受影響用戶。案件或成DeFi法理與DAO治理的關鍵判例。
鏈新聞abmedia11小時前
