La firma de seguridad de la cadena de bloques Oak Security ha expresado preocupaciones sobre una vulnerabilidad en el kit de desarrollo de software de la cadena Cosmos (SDK) que podría llevar a un ataque de Denegación de Servicio Distribuido (DDoS) en la red. En una publicación de Medium, dos de los investigadores de la firma, Edward Kotysh y Christian Vari, explicaron por qué este es un riesgo importante.
Según los investigadores, la vulnerabilidad radica en el hecho de que las funciones BeginBlock y EndBlock no están sujetas a medición de gas. Esto es por diseño, ya que permite a los desarrolladores tener algo de tiempo de computación gratuito, ya que estas dos funciones no afectan necesariamente las transacciones de los usuarios.
Sin embargo, los expertos en seguridad advirtieron que lo que se pretendía ser un pequeño margen para los desarrolladores podría causar daños significativos a las redes basadas en Cosmos de varias maneras. Estos incluyen causar congestión en la red, afectar a los validadores o incluso llevar a una interrupción completa.
Dijeron:
"Esta libertad puede ser un arma de doble filo, y puede abrir una caja de Pandora de posibles vulnerabilidades. El problema principal es que, sin límites de gas, el código mal optimizado o malicioso en BeginBlock y EndBlock puede causar un verdadero caos."
Los investigadores probaron sus teorías sobre el impacto potencial de la vulnerabilidad realizando experimentos. En uno de los experimentos, introdujeron retrasos aleatorios en la función BeginBlock a diversas alturas de bloque, con retrasos que variaban de cinco segundos a un minuto.
De los experimentos, los expertos confirmaron que los retrasos llevaron a una congestión sustancial en la red, ralentizando su progreso y aumentando el tiempo necesario para completar bloques. También afectó a los validadores, con varios de ellos fallando en firmar bloques en los momentos requeridos y algunos perdiendo completamente las fases de votación.
No es sorprendente que el número limitado de validadores disponibles para firmar transacciones ( menos de dos tercios ) significara que la cadena de prueba experimentara interrupciones temporales. Los investigadores señalaron que esto podría resultar en una interrupción completa en la red principal, donde hay varias transacciones ocurriendo al mismo tiempo que necesitan ser finalizadas.
Oak Security recomienda soluciones para desarrolladores
Mientras tanto, los expertos en seguridad han recomendado soluciones para corregir la vulnerabilidad antes de que un actor malintencionado la explote. Según ellos, hay una necesidad de implementar límites de computación estrictos para que incluso nadie pueda simplemente agregar cualquier vector de ataque que cause una computación excesiva.
Identificaron tres formas diferentes de implementar esta solución. Estas incluyen agregar complejidad temporal a las funciones BeginBlock y EndBlock para que no se ejecuten indefinidamente, envoltura de contexto para mantener operaciones intensivas en recursos dentro de contextos medidos, y validación de todas las entradas a la función.
Además, pidieron más pruebas y simulaciones exhaustivas para determinar cómo se podría explotar la vulnerabilidad y el potencial de su impacto.
También identificaron salvaguardias arquitectónicas y monitoreo operativo para garantizar que las redes operen según métricas estándar y detectar cualquier desviación significativa.
Cosmos SDK lanza nueva versión
Mientras tanto, el Cosmos SDK aún no ha comentado sobre el informe de seguridad y si hará algo para abordar el problema de su parte. Esto podría deberse a que la vulnerabilidad identificada es en realidad una característica de diseño y no un error o malware, como las recientes alertas de seguridad sobre ataques a la cadena de suministro.
Afortunadamente, los desarrolladores que utilizan el Cosmos SDK pueden implementar la mayoría de las recomendaciones de los expertos en seguridad, lo que les permite controlar lo que despliegan y asegurarse de que no sea vulnerable a ataques DDoS.
Curiosamente, Cosmos SDK lanzó recientemente su versión v0.53.0. Según el anuncio en X, la versión es una respuesta a los puntos de dolor que los constructores plantearon sobre la versión anterior.
La última versión supuestamente viene con transacciones desordenadas, capacidades mejoradas para grupos comunitarios, mecanismos de gobernanza personalizados, épocas y acuñación personalizada. También incluye correcciones de errores, y los desarrolladores ya pueden actualizarla en GitHub.
Cosmos SDK es una herramienta para que los desarrolladores construyan fácilmente su propia red personalizada e integren con la Cadena de bloques Cosmos, una red que busca convertirse en el Internet de las Cadenas de bloques.
Academia Cryptopolitan: ¿Quieres hacer crecer tu dinero en 2025? Aprende cómo hacerlo con DeFi en nuestra próxima clase en línea. Reserva tu lugar.
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
Vulnerabilidad de seguridad en Cosmos SDK puede permitir ataques DDoS
La firma de seguridad de la cadena de bloques Oak Security ha expresado preocupaciones sobre una vulnerabilidad en el kit de desarrollo de software de la cadena Cosmos (SDK) que podría llevar a un ataque de Denegación de Servicio Distribuido (DDoS) en la red. En una publicación de Medium, dos de los investigadores de la firma, Edward Kotysh y Christian Vari, explicaron por qué este es un riesgo importante.
Según los investigadores, la vulnerabilidad radica en el hecho de que las funciones BeginBlock y EndBlock no están sujetas a medición de gas. Esto es por diseño, ya que permite a los desarrolladores tener algo de tiempo de computación gratuito, ya que estas dos funciones no afectan necesariamente las transacciones de los usuarios.
Sin embargo, los expertos en seguridad advirtieron que lo que se pretendía ser un pequeño margen para los desarrolladores podría causar daños significativos a las redes basadas en Cosmos de varias maneras. Estos incluyen causar congestión en la red, afectar a los validadores o incluso llevar a una interrupción completa.
Dijeron:
"Esta libertad puede ser un arma de doble filo, y puede abrir una caja de Pandora de posibles vulnerabilidades. El problema principal es que, sin límites de gas, el código mal optimizado o malicioso en BeginBlock y EndBlock puede causar un verdadero caos."
Los investigadores probaron sus teorías sobre el impacto potencial de la vulnerabilidad realizando experimentos. En uno de los experimentos, introdujeron retrasos aleatorios en la función BeginBlock a diversas alturas de bloque, con retrasos que variaban de cinco segundos a un minuto.
De los experimentos, los expertos confirmaron que los retrasos llevaron a una congestión sustancial en la red, ralentizando su progreso y aumentando el tiempo necesario para completar bloques. También afectó a los validadores, con varios de ellos fallando en firmar bloques en los momentos requeridos y algunos perdiendo completamente las fases de votación.
No es sorprendente que el número limitado de validadores disponibles para firmar transacciones ( menos de dos tercios ) significara que la cadena de prueba experimentara interrupciones temporales. Los investigadores señalaron que esto podría resultar en una interrupción completa en la red principal, donde hay varias transacciones ocurriendo al mismo tiempo que necesitan ser finalizadas.
Oak Security recomienda soluciones para desarrolladores
Mientras tanto, los expertos en seguridad han recomendado soluciones para corregir la vulnerabilidad antes de que un actor malintencionado la explote. Según ellos, hay una necesidad de implementar límites de computación estrictos para que incluso nadie pueda simplemente agregar cualquier vector de ataque que cause una computación excesiva.
Identificaron tres formas diferentes de implementar esta solución. Estas incluyen agregar complejidad temporal a las funciones BeginBlock y EndBlock para que no se ejecuten indefinidamente, envoltura de contexto para mantener operaciones intensivas en recursos dentro de contextos medidos, y validación de todas las entradas a la función.
Además, pidieron más pruebas y simulaciones exhaustivas para determinar cómo se podría explotar la vulnerabilidad y el potencial de su impacto.
También identificaron salvaguardias arquitectónicas y monitoreo operativo para garantizar que las redes operen según métricas estándar y detectar cualquier desviación significativa.
Cosmos SDK lanza nueva versión
Mientras tanto, el Cosmos SDK aún no ha comentado sobre el informe de seguridad y si hará algo para abordar el problema de su parte. Esto podría deberse a que la vulnerabilidad identificada es en realidad una característica de diseño y no un error o malware, como las recientes alertas de seguridad sobre ataques a la cadena de suministro.
Afortunadamente, los desarrolladores que utilizan el Cosmos SDK pueden implementar la mayoría de las recomendaciones de los expertos en seguridad, lo que les permite controlar lo que despliegan y asegurarse de que no sea vulnerable a ataques DDoS.
Curiosamente, Cosmos SDK lanzó recientemente su versión v0.53.0. Según el anuncio en X, la versión es una respuesta a los puntos de dolor que los constructores plantearon sobre la versión anterior.
La última versión supuestamente viene con transacciones desordenadas, capacidades mejoradas para grupos comunitarios, mecanismos de gobernanza personalizados, épocas y acuñación personalizada. También incluye correcciones de errores, y los desarrolladores ya pueden actualizarla en GitHub.
Cosmos SDK es una herramienta para que los desarrolladores construyan fácilmente su propia red personalizada e integren con la Cadena de bloques Cosmos, una red que busca convertirse en el Internet de las Cadenas de bloques.
Academia Cryptopolitan: ¿Quieres hacer crecer tu dinero en 2025? Aprende cómo hacerlo con DeFi en nuestra próxima clase en línea. Reserva tu lugar.