A empresa de segurança em Blockchain Oak Security levantou preocupações sobre uma vulnerabilidade no kit de desenvolvimento de software da cadeia Cosmos (SDK) que poderia levar a um ataque de Negação de Serviço Distribuída (DDoS) na rede. Em um post no Medium, dois dos pesquisadores da empresa, Edward Kotysh e Christian Vari, explicaram por que isso representa um grande risco.
De acordo com os investigadores, a vulnerabilidade reside no fato de que as funções BeginBlock e EndBlock não estão sujeitas à medição de gás. Isso é intencional, pois permite que os desenvolvedores tenham algum tempo de computação gratuito, uma vez que essas duas funções não afetam necessariamente as transações dos utilizadores.
No entanto, os especialistas em segurança alertaram que o que deveria ser uma pequena margem para os desenvolvedores poderia, na verdade, causar danos significativos às redes baseadas em Cosmos de várias maneiras. Estes incluem causar congestão na rede, afetar validadores, ou até mesmo levar a uma interrupção total.
Eles disseram:
"Esta liberdade pode ser uma espada de dois gumes e pode abrir uma caixa de Pandora de potenciais vulnerabilidades. O principal problema é que, sem limites de gás, código mal otimizado ou malicioso em BeginBlock e EndBlock pode realmente causar estragos."
Os pesquisadores testaram suas teorias sobre o impacto potencial da vulnerabilidade realizando experimentos. Em um dos experimentos, eles introduziram atrasos aleatórios na função BeginBlock em várias alturas de bloco, com atrasos que variavam de cinco segundos a um minuto.
A partir dos experimentos, os especialistas confirmaram que os atrasos levaram a uma congestão substancial na rede, desacelerando a sua progressão e aumentando o tempo necessário para completar os blocos. Isso também afetou os validadores, com vários deles a falharem em assinar blocos nos tempos exigidos e alguns a perderem completamente as fases de votação.
Sem surpresa, o número limitado de validadores disponíveis para assinar transações ( menos de dois terços ) significou que a cadeia de testes experimentou interrupções temporárias. Os pesquisadores observaram que isso poderia resultar em uma interrupção completa na própria mainnet, onde há várias transações a acontecer ao mesmo tempo que precisam ser finalizadas.
A Oak Security recomenda correções para desenvolvedores
Entretanto, os especialistas em segurança recomendaram soluções para corrigir a vulnerabilidade antes que um ator malicioso a explore. Segundo eles, há uma necessidade de implementar limites de computação rigorosos, para que mesmo qualquer pessoa não possa simplesmente adicionar qualquer vetor de ataque que cause uma computação excessiva.
Eles identificaram três maneiras diferentes de implementar esta solução. Estas incluem adicionar complexidade temporal às funções BeginBlock e EndBlock para que não funcionem indefinidamente, encapsulamento de contexto para manter operações intensivas em recursos em contextos medidos e validação de todas as entradas para a função.
Além disso, pediram testes e simulações mais abrangentes para determinar como a vulnerabilidade poderia ser explorada e o potencial de seu impacto.
Eles também identificaram salvaguardas arquitetônicas e monitoramento operacional para garantir que as redes operem de acordo com métricas padrão e detectem qualquer desvio significativo.
Cosmos SDK lança nova versão
Entretanto, o Cosmos SDK ainda não comentou sobre o relatório de segurança e se fará algo para resolver o problema da sua parte. Isso pode ser porque a vulnerabilidade identificada é na verdade uma característica de design e não um erro ou malware, como os recentes alertas de segurança sobre ataques à cadeia de suprimentos.
Felizmente, os desenvolvedores que utilizam o Cosmos SDK podem implementar a maioria das recomendações de especialistas em segurança, permitindo-lhes controlar o que implantam e garantir que não seja vulnerável a ataques DDoS.
Curiosamente, o Cosmos SDK lançou recentemente a sua versão v0.53.0. De acordo com o anúncio no X, a versão é uma resposta aos pontos de dor que os construtores levantaram sobre a versão anterior.
A versão mais recente, segundo relatos, vem com transações não ordenadas, capacidades melhoradas para pools comunitários, mecanismos de governação personalizados, épocas e cunhagem personalizada. Também vem com correções de bugs, e os desenvolvedores já podem fazer a atualização no GitHub.
O Cosmos SDK é uma ferramenta para desenvolvedores construírem facilmente a sua própria rede personalizada e integrar-se com a blockchain Cosmos, uma rede que procura tornar-se a Internet dos Blocos.
Academia Cryptopolitan: Quer fazer crescer o seu dinheiro em 2025? Aprenda como fazê-lo com DeFi na nossa próxima webclass. Reserve o seu lugar.
O conteúdo serve apenas de referência e não constitui uma solicitação ou oferta. Não é prestado qualquer aconselhamento em matéria de investimento, fiscal ou jurídica. Consulte a Declaração de exoneração de responsabilidade para obter mais informações sobre os riscos.
Falha de segurança no Cosmos SDK pode permitir ataques DDoS
A empresa de segurança em Blockchain Oak Security levantou preocupações sobre uma vulnerabilidade no kit de desenvolvimento de software da cadeia Cosmos (SDK) que poderia levar a um ataque de Negação de Serviço Distribuída (DDoS) na rede. Em um post no Medium, dois dos pesquisadores da empresa, Edward Kotysh e Christian Vari, explicaram por que isso representa um grande risco.
De acordo com os investigadores, a vulnerabilidade reside no fato de que as funções BeginBlock e EndBlock não estão sujeitas à medição de gás. Isso é intencional, pois permite que os desenvolvedores tenham algum tempo de computação gratuito, uma vez que essas duas funções não afetam necessariamente as transações dos utilizadores.
No entanto, os especialistas em segurança alertaram que o que deveria ser uma pequena margem para os desenvolvedores poderia, na verdade, causar danos significativos às redes baseadas em Cosmos de várias maneiras. Estes incluem causar congestão na rede, afetar validadores, ou até mesmo levar a uma interrupção total.
Eles disseram:
"Esta liberdade pode ser uma espada de dois gumes e pode abrir uma caixa de Pandora de potenciais vulnerabilidades. O principal problema é que, sem limites de gás, código mal otimizado ou malicioso em BeginBlock e EndBlock pode realmente causar estragos."
Os pesquisadores testaram suas teorias sobre o impacto potencial da vulnerabilidade realizando experimentos. Em um dos experimentos, eles introduziram atrasos aleatórios na função BeginBlock em várias alturas de bloco, com atrasos que variavam de cinco segundos a um minuto.
A partir dos experimentos, os especialistas confirmaram que os atrasos levaram a uma congestão substancial na rede, desacelerando a sua progressão e aumentando o tempo necessário para completar os blocos. Isso também afetou os validadores, com vários deles a falharem em assinar blocos nos tempos exigidos e alguns a perderem completamente as fases de votação.
Sem surpresa, o número limitado de validadores disponíveis para assinar transações ( menos de dois terços ) significou que a cadeia de testes experimentou interrupções temporárias. Os pesquisadores observaram que isso poderia resultar em uma interrupção completa na própria mainnet, onde há várias transações a acontecer ao mesmo tempo que precisam ser finalizadas.
A Oak Security recomenda correções para desenvolvedores
Entretanto, os especialistas em segurança recomendaram soluções para corrigir a vulnerabilidade antes que um ator malicioso a explore. Segundo eles, há uma necessidade de implementar limites de computação rigorosos, para que mesmo qualquer pessoa não possa simplesmente adicionar qualquer vetor de ataque que cause uma computação excessiva.
Eles identificaram três maneiras diferentes de implementar esta solução. Estas incluem adicionar complexidade temporal às funções BeginBlock e EndBlock para que não funcionem indefinidamente, encapsulamento de contexto para manter operações intensivas em recursos em contextos medidos e validação de todas as entradas para a função.
Além disso, pediram testes e simulações mais abrangentes para determinar como a vulnerabilidade poderia ser explorada e o potencial de seu impacto.
Eles também identificaram salvaguardas arquitetônicas e monitoramento operacional para garantir que as redes operem de acordo com métricas padrão e detectem qualquer desvio significativo.
Cosmos SDK lança nova versão
Entretanto, o Cosmos SDK ainda não comentou sobre o relatório de segurança e se fará algo para resolver o problema da sua parte. Isso pode ser porque a vulnerabilidade identificada é na verdade uma característica de design e não um erro ou malware, como os recentes alertas de segurança sobre ataques à cadeia de suprimentos.
Felizmente, os desenvolvedores que utilizam o Cosmos SDK podem implementar a maioria das recomendações de especialistas em segurança, permitindo-lhes controlar o que implantam e garantir que não seja vulnerável a ataques DDoS.
Curiosamente, o Cosmos SDK lançou recentemente a sua versão v0.53.0. De acordo com o anúncio no X, a versão é uma resposta aos pontos de dor que os construtores levantaram sobre a versão anterior.
A versão mais recente, segundo relatos, vem com transações não ordenadas, capacidades melhoradas para pools comunitários, mecanismos de governação personalizados, épocas e cunhagem personalizada. Também vem com correções de bugs, e os desenvolvedores já podem fazer a atualização no GitHub.
O Cosmos SDK é uma ferramenta para desenvolvedores construírem facilmente a sua própria rede personalizada e integrar-se com a blockchain Cosmos, uma rede que procura tornar-se a Internet dos Blocos.
Academia Cryptopolitan: Quer fazer crescer o seu dinheiro em 2025? Aprenda como fazê-lo com DeFi na nossa próxima webclass. Reserve o seu lugar.