Cosmos SDK中的安全漏洞可能允許DDoS攻擊

區塊鏈安全公司 Oak Security 對 Cosmos 鏈軟件開發工具包 (SDK) 中的一個漏洞表示擔憂，該漏洞可能導致網路上的分布式拒絕服務(DDoS)攻擊。在 Medium 的一篇博文中，該公司的兩位研究人員 Edward Kotysh 和 Christian Vari 解釋了爲什麼這是一個重大風險。

研究人員指出，漏洞在於 BeginBlock 和 EndBlock 函數不受燃氣計量的限制。這是出於設計考慮，因爲它使開發者可以獲得一些免費計算時間，因爲這兩個函數並不一定影響用戶交易。

然而，安全專家警告說，本 intended 爲開發人員提供的微小餘地實際上可能會以多種方式對基於 Cosmos 的網路造成重大損害。這些方式包括導致網路擁堵、影響驗證者，甚至導致完全停機。

他們說：

“這種自由可能是一把雙刃劍，它可能會打開一個充滿潛在漏洞的潘多拉魔盒。主要問題是，如果沒有燃氣限制，BeginBlock 和 EndBlock 中的代碼如果優化不佳或存在惡意，將會造成嚴重的破壞。”

研究人員通過進行實驗測試了他們關於漏洞潛在影響的理論。在其中一個實驗中，他們在不同的區塊高度對 BeginBlock 函數引入了隨機延遲，延遲時間從五秒到一分鍾不等。

從實驗中，專家確認這些延遲導致網路出現了顯著的擁堵，減緩了其進展，並增加了完成區塊所需的時間。這也影響了驗證者，其中一些未能在規定時間內籤署區塊，還有一些完全錯過了投票階段。

毫不意外，能夠籤署交易的驗證者數量有限，(不到三分之二)，這意味着測試鏈經歷了暫時的中斷。研究人員指出，這可能導致主網本身的完全中斷，在那裏有多個交易同時發生，需要被確認。

橡樹安全建議開發者進行修復

與此同時，安全專家建議在惡意行爲者利用該漏洞之前，採取解決方案來修復它。他們認爲需要實施嚴格的計算限制，以便即使是任何人也無法簡單地添加任何攻擊向量，從而導致過度計算。

他們確定了三種不同的實現此解決方案的方法。這些方法包括向 BeginBlock 和 EndBlock 函數添加時間復雜性，以確保它們不會無限運行，使用上下文包裝將資源密集型操作保持在計量上下文中，以及對函數的所有輸入進行驗證。

此外，他們呼籲進行更全面的測試和模擬，以確定該漏洞如何被利用及其潛在影響。

他們還確定了架構保障措施和操作監控，以確保網路按照標準指標運行，並檢測任何重大偏差。

Cosmos SDK推出新版本

與此同時，Cosmos SDK 尚未對此安全報告做出評論，也未說明他們是否會採取措施解決此問題。這可能是因爲所識別的漏洞實際上是一個設計特性，而不是像最近關於供應鏈攻擊的安全警報那樣的錯誤或惡意軟件。

幸運的是，使用 Cosmos SDK 的開發者可以實施大多數安全專家的建議，使他們能夠控制所部署的內容，並確保其不易受到 DDoS 攻擊。

有趣的是，Cosmos SDK 最近推出了其版本 v0.53.0。根據在 X 上的公告，該版本是對構建者對先前版本提出的痛點的回應。

最新版本據報道增加了無序交易、社區池的改進能力、自定義治理機制、週期以及自定義鑄造。它還修復了bug，開發者已經可以在GitHub上升級到該版本。

Cosmos SDK 是一個工具，幫助開發者輕鬆構建自己定制的網路並與 Cosmos 區塊鏈集成，這是一個尋求成爲區塊鏈互聯網的網路。

Cryptopolitan Academy: 想在2025年增長你的資金嗎？在我們即將舉行的網路課中學習如何通過DeFi做到這一點。保存你的名額