Tendermint表示上个月的Cosmos漏洞暴露出安全漏洞
Cosmos网络背后的开发人员今天发布了上个月的“关键安全漏洞”的全面披露,据报道,该漏洞使黑客能够绕过对网络上不当行为的某些处罚。
Tendermint公司董事Zaki Manian是Cosmos的核心技术背后的盈利实体,他在接受采访时详细介绍了Coindesk:
“关键是我们想要让网络中的行为异常变得非常困难,然后立即取消你的令牌,并避免这种不当行为的后果……就像投票给治理不好的事情(或者)更复杂的事情是双重标志交易所可能扭转国家。“
通常情况下,Cosmos验证器 – 相当于工作证明区块链网络中的矿工 – 通过随意投票或签署虚假交易而行为不当,会因为他们的ATOM令牌被削减而受到惩罚。这可以通过最少21天的等待时间来阻止验证者在网络能够充分检测和筛选其操作之前放松其ATOM令牌。
正如Tendermint团队在今天发布的帖子中所述,上个月发现的代码漏洞可能使验证者能够绕过完全放松或“无约束”的时期,并使他们的资金立即变得流动,基本上不会发生粘连。“
“在收到错误报告的前24小时内,我们的工具总共发现了~22个事件,”该团队写道。
Cosmos已于今年3月上线,它是一个相对较新的区块链网络,旨在改善不同区块链平台之间的互操作性。据报道,2017年首次投放硬币时筹集了1600万美元。
今天发布的安全漏洞实际上是在Cosmos软件开发工具包(SDK)的“质押模块”中找到的,该工具包于2018年作为“最先进的”区块链工具包首次亮相。在之前的博客文章中,它被详细描述为“安全,轻松地构建区块链的另一种方式”。
得到教训
Tendermint的安全负责人Jessy Irwin在接受CoinDesk采访时说,虽然今天披露的漏洞是第一个影响Cosmos主网络的漏洞,但“这不是第一个向我们报告的漏洞。”
“我们已经完成了七次安全审核,我们已经提出了多个问题,然后我们还有一个非常活跃的错误赏金计划,”欧文说。 “自从我加入团队创建一个人们报告错误而不是对它们无所作为的环境以来,我们在过去的一年半中投入了相当多的资金。”
该漏洞现已在Cosmos网络上完全修补,确实需要Cosmos验证器执行紧急硬分叉或系统范围的升级。该更新于5月31日在第482,100号块激活。
Irwin强调,为了使这个硬分叉能够成功执行而不会导致网络分裂,需要将紧急通知推送给所有在其计算机上运行Cosmos软件的Cosmos验证器和其他服务提供商。
展望未来,Irwin告诉CoinDesk,从安全公开和升级过程中吸取的最大教训之一是对Cosmos验证器和其他服务提供商的安全通信渠道的更大需求。
欧文强调:
“我们真的会倡导我们的验证器和交易所中心来开辟他们自己的安全通信渠道……我们正在努力使用我们的验证器来打开它,这样下次我们就不会跑来跑去争抢信息以便与他们取得联系。“
Zaki Manian图片由Tendermint提供