区块链互联网平台，Cosmos发布严重漏洞：报告

Cosmos是一个基于分布式总账技术（DLT）的平台，用于促进不同区块链网络之间的通信和交易，它已经发布了上个月发现的“关键安全漏洞”的全面披露。

漏洞将允许黑客绕过对恶意行为的处罚

Cosmos的代码库中发现的漏洞可以让黑客绕过对领先的区块链互操作性网络不当行为的各种处罚。在评论关键软件漏洞的性质时，Tendermint公司（一家负责Cosmos平台初始开发的营利性商业实体）的董事Zaki Manian评论说：

关键是我们希望在网络上行为不端，然后立即取消你的令牌，并逃避这种不当行为的后果……就像投票给治理不好的事情（或者更复杂的事情是双重标志交易所潜在的逆转状态。

Cosmos的去中心化，基于证据（PoS）的治理协议的实施方式是防止或阻止交易验证人员随意投票或批准非法交易。如果他们决定参与不诚实的行为，那么Cosmos网络上的交易验证器也会被称为块生产者（BP），可能会失去他们的质押ATOM令牌。

在能够取消ATOM令牌之前的21天等待期

为了防止Cosmos区块链出现不当行为，其开发人员已将最短等待时间设置为21天 – 这意味着在此时间段之前不允许验证者取消其ATOM令牌。这允许DLT供电网络的内置管理系统充分确定BP是否表现得恰当。

根据Tendermint的完整披露报告，2019年5月发现的软件漏洞将允许验证者绕过所需的等待期，然后才能取消他们的ATOM令牌。此外，该报告显示，软件漏洞可能会让BP跳过“不粘合”阶段并“让他们的资金立即变得流动，基本上不会发生粘连。”正如Tendermint的软件审计报告所述，“在24小时之内（发现）这个错误…我们的工具总共发现了22个事件。“

值得注意的是，经过广泛的测试和开发，Cosmos的mainnet于2019年3月投入使用。 Cosmos项目的创始人通过2017年首次推出的硬币（ICO）筹集了1600万美元。

“质押模块”中的漏洞

据报道，Tendermint团队描述的安全漏洞是在Cosmos软件开发工具包（SDK）的“质押模块”中发现的。区块链互操作性平台的SDK最初于2018年推出，被称为“最先进的”区块链开发工具包。

Tendermint安全负责人Jessy Irwin告诉Coindesk，虽然软件漏洞披露报告可能是影响Cosmos区块链的第一个主要漏洞，但“这不是第一个向我们报告的漏洞。”

欧文补充道：

我们已经完成了七次安全审核，我们已经提出了多个问题，然后我们还有一个非常活跃的bug赏金计划。自从我加入团队创建一个人们报告错误而不是对他们做任何事情的环境以来，我们在过去的一年半中投入了相当多的资金。

虽然现在已经在Cosmos主网上解决了这个关键漏洞，但它确实需要BP进行紧急硬分叉（向后不兼容的升级）。据报道，硬分叉在2019年5月31日的第482,100号区块被激活。