Perusahaan keamanan Blockchain Oak Security telah mengangkat kekhawatiran tentang kerentanan dalam perangkat lunak pengembangan kit Cosmos chain (SDK) yang dapat menyebabkan serangan Distributed Denial of Service (DDoS) pada jaringan. Dalam sebuah pos di Medium, dua peneliti dari perusahaan tersebut, Edward Kotysh dan Christian Vari, menjelaskan mengapa ini merupakan risiko besar.
Menurut para peneliti, kerentanannya terletak pada kenyataan bahwa fungsi BeginBlock dan EndBlock tidak dikenakan pengukuran gas. Ini adalah desainnya, karena memungkinkan pengembang untuk memiliki waktu komputasi gratis, karena kedua fungsi ini tidak selalu mempengaruhi transaksi pengguna.
Namun, para ahli keamanan memperingatkan bahwa apa yang dimaksudkan sebagai kelonggaran kecil untuk pengembang sebenarnya dapat menyebabkan kerusakan signifikan pada jaringan berbasis Cosmos dengan beberapa cara. Ini termasuk menyebabkan kemacetan jaringan, mempengaruhi validator, atau bahkan menyebabkan pemadaman total.
Mereka berkata:
"Kebebasan ini bisa menjadi pedang bermata dua, dan bisa membuka kotak Pandora dari potensi kerentanan. Masalah utama adalah bahwa tanpa batas gas, kode yang dioptimalkan dengan buruk atau berbahaya di BeginBlock dan EndBlock benar-benar bisa menyebabkan kekacauan."
Para peneliti menguji teori mereka tentang potensi dampak dari kerentanan dengan melakukan eksperimen. Dalam salah satu eksperimen, mereka memperkenalkan penundaan acak pada fungsi BeginBlock di berbagai tinggi blok, dengan penundaan berkisar dari lima detik hingga satu menit.
Dari eksperimen tersebut, para ahli mengonfirmasi bahwa penundaan menyebabkan kemacetan substansial di jaringan, memperlambat kemajuannya dan meningkatkan waktu yang dibutuhkan untuk menyelesaikan blok. Ini juga memengaruhi validator, dengan beberapa dari mereka gagal menandatangani blok pada waktu yang diperlukan dan beberapa sama sekali melewatkan fase pemungutan suara.
Tidak mengherankan, jumlah validator yang terbatas yang tersedia untuk menandatangani transaksi (kurang dari dua pertiga) berarti bahwa rantai uji mengalami pemadaman sementara. Para peneliti mencatat bahwa ini dapat mengakibatkan pemadaman total di mainnet itu sendiri, di mana ada beberapa transaksi yang terjadi sekaligus yang perlu diselesaikan.
Oak Security merekomendasikan perbaikan untuk pengembang
Sementara itu, para ahli keamanan telah merekomendasikan solusi untuk memperbaiki kerentanan sebelum pelaku jahat mengeksploitasinya. Menurut mereka, perlu diterapkan batasan perhitungan yang ketat agar bahkan siapa pun tidak dapat dengan mudah menambahkan vektor serangan yang akan menyebabkan perhitungan berlebihan.
Mereka mengidentifikasi tiga cara berbeda untuk mengimplementasikan solusi ini. Ini termasuk menambahkan kompleksitas waktu pada fungsi BeginBlock dan EndBlock sehingga tidak berjalan tanpa batas, pembungkusan konteks untuk menjaga operasi yang memakan sumber daya dalam konteks yang terukur, dan validasi semua input ke fungsi tersebut.
Selain itu, mereka menyerukan pengujian dan simulasi yang lebih komprehensif untuk menentukan bagaimana kerentanan tersebut dapat dieksploitasi dan potensi dampaknya.
Mereka juga mengidentifikasi perlindungan arsitektur dan pemantauan operasional untuk memastikan jaringan beroperasi sesuai dengan metrik standar dan mendeteksi setiap penyimpangan yang signifikan.
Cosmos SDK meluncurkan versi baru
Sementara itu, Cosmos SDK belum memberikan komentar mengenai laporan keamanan dan apakah mereka akan melakukan sesuatu untuk mengatasi masalah tersebut. Ini mungkin karena kerentanan yang diidentifikasi sebenarnya adalah fitur desain dan bukan bug atau malware, seperti peringatan keamanan terbaru tentang serangan rantai pasokan.
Untungnya, pengembang yang menggunakan Cosmos SDK dapat menerapkan sebagian besar rekomendasi dari para ahli keamanan, memungkinkan mereka untuk mengendalikan apa yang mereka luncurkan dan memastikan bahwa itu tidak rentan terhadap serangan DDoS.
Menariknya, Cosmos SDK baru-baru ini meluncurkan versinya v0.53.0. Menurut pengumuman di X, versi ini adalah respons terhadap titik-titik kesakitan yang diangkat oleh para pembangun tentang versi sebelumnya.
Versi terbaru dilaporkan hadir dengan transaksi yang tidak terurut, kapasitas yang ditingkatkan untuk kolam komunitas, mekanisme pemerintahan kustom, epoch, dan pencetakan kustom. Ini juga dilengkapi dengan perbaikan bug, dan pengembang sudah dapat memperbarui ke versi ini di GitHub.
Cosmos SDK adalah alat bagi pengembang untuk dengan mudah membangun jaringan kustom mereka sendiri dan berintegrasi dengan blockchain Cosmos, sebuah jaringan yang berupaya menjadi Internet dari Blockchain.
Akademi Cryptopolitan: Ingin mengembangkan uang Anda di 2025? Pelajari cara melakukannya dengan DeFi dalam kelas web kami yang akan datang. Simpan Tempat Anda
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Kekurangan keamanan dalam Cosmos SDK dapat memungkinkan serangan DDoS
Perusahaan keamanan Blockchain Oak Security telah mengangkat kekhawatiran tentang kerentanan dalam perangkat lunak pengembangan kit Cosmos chain (SDK) yang dapat menyebabkan serangan Distributed Denial of Service (DDoS) pada jaringan. Dalam sebuah pos di Medium, dua peneliti dari perusahaan tersebut, Edward Kotysh dan Christian Vari, menjelaskan mengapa ini merupakan risiko besar.
Menurut para peneliti, kerentanannya terletak pada kenyataan bahwa fungsi BeginBlock dan EndBlock tidak dikenakan pengukuran gas. Ini adalah desainnya, karena memungkinkan pengembang untuk memiliki waktu komputasi gratis, karena kedua fungsi ini tidak selalu mempengaruhi transaksi pengguna.
Namun, para ahli keamanan memperingatkan bahwa apa yang dimaksudkan sebagai kelonggaran kecil untuk pengembang sebenarnya dapat menyebabkan kerusakan signifikan pada jaringan berbasis Cosmos dengan beberapa cara. Ini termasuk menyebabkan kemacetan jaringan, mempengaruhi validator, atau bahkan menyebabkan pemadaman total.
Mereka berkata:
"Kebebasan ini bisa menjadi pedang bermata dua, dan bisa membuka kotak Pandora dari potensi kerentanan. Masalah utama adalah bahwa tanpa batas gas, kode yang dioptimalkan dengan buruk atau berbahaya di BeginBlock dan EndBlock benar-benar bisa menyebabkan kekacauan."
Para peneliti menguji teori mereka tentang potensi dampak dari kerentanan dengan melakukan eksperimen. Dalam salah satu eksperimen, mereka memperkenalkan penundaan acak pada fungsi BeginBlock di berbagai tinggi blok, dengan penundaan berkisar dari lima detik hingga satu menit.
Dari eksperimen tersebut, para ahli mengonfirmasi bahwa penundaan menyebabkan kemacetan substansial di jaringan, memperlambat kemajuannya dan meningkatkan waktu yang dibutuhkan untuk menyelesaikan blok. Ini juga memengaruhi validator, dengan beberapa dari mereka gagal menandatangani blok pada waktu yang diperlukan dan beberapa sama sekali melewatkan fase pemungutan suara.
Tidak mengherankan, jumlah validator yang terbatas yang tersedia untuk menandatangani transaksi (kurang dari dua pertiga) berarti bahwa rantai uji mengalami pemadaman sementara. Para peneliti mencatat bahwa ini dapat mengakibatkan pemadaman total di mainnet itu sendiri, di mana ada beberapa transaksi yang terjadi sekaligus yang perlu diselesaikan.
Oak Security merekomendasikan perbaikan untuk pengembang
Sementara itu, para ahli keamanan telah merekomendasikan solusi untuk memperbaiki kerentanan sebelum pelaku jahat mengeksploitasinya. Menurut mereka, perlu diterapkan batasan perhitungan yang ketat agar bahkan siapa pun tidak dapat dengan mudah menambahkan vektor serangan yang akan menyebabkan perhitungan berlebihan.
Mereka mengidentifikasi tiga cara berbeda untuk mengimplementasikan solusi ini. Ini termasuk menambahkan kompleksitas waktu pada fungsi BeginBlock dan EndBlock sehingga tidak berjalan tanpa batas, pembungkusan konteks untuk menjaga operasi yang memakan sumber daya dalam konteks yang terukur, dan validasi semua input ke fungsi tersebut.
Selain itu, mereka menyerukan pengujian dan simulasi yang lebih komprehensif untuk menentukan bagaimana kerentanan tersebut dapat dieksploitasi dan potensi dampaknya.
Mereka juga mengidentifikasi perlindungan arsitektur dan pemantauan operasional untuk memastikan jaringan beroperasi sesuai dengan metrik standar dan mendeteksi setiap penyimpangan yang signifikan.
Cosmos SDK meluncurkan versi baru
Sementara itu, Cosmos SDK belum memberikan komentar mengenai laporan keamanan dan apakah mereka akan melakukan sesuatu untuk mengatasi masalah tersebut. Ini mungkin karena kerentanan yang diidentifikasi sebenarnya adalah fitur desain dan bukan bug atau malware, seperti peringatan keamanan terbaru tentang serangan rantai pasokan.
Untungnya, pengembang yang menggunakan Cosmos SDK dapat menerapkan sebagian besar rekomendasi dari para ahli keamanan, memungkinkan mereka untuk mengendalikan apa yang mereka luncurkan dan memastikan bahwa itu tidak rentan terhadap serangan DDoS.
Menariknya, Cosmos SDK baru-baru ini meluncurkan versinya v0.53.0. Menurut pengumuman di X, versi ini adalah respons terhadap titik-titik kesakitan yang diangkat oleh para pembangun tentang versi sebelumnya.
Versi terbaru dilaporkan hadir dengan transaksi yang tidak terurut, kapasitas yang ditingkatkan untuk kolam komunitas, mekanisme pemerintahan kustom, epoch, dan pencetakan kustom. Ini juga dilengkapi dengan perbaikan bug, dan pengembang sudah dapat memperbarui ke versi ini di GitHub.
Cosmos SDK adalah alat bagi pengembang untuk dengan mudah membangun jaringan kustom mereka sendiri dan berintegrasi dengan blockchain Cosmos, sebuah jaringan yang berupaya menjadi Internet dari Blockchain.
Akademi Cryptopolitan: Ingin mengembangkan uang Anda di 2025? Pelajari cara melakukannya dengan DeFi dalam kelas web kami yang akan datang. Simpan Tempat Anda