Công ty bảo mật Blockchain Oak Security đã bày tỏ lo ngại về một lỗ hổng trong bộ phát triển phần mềm Cosmos chain (SDK) có thể dẫn đến một cuộc tấn công Từ chối Dịch vụ Phân tán (DDoS) vào mạng lưới. Trong một bài viết trên Medium, hai nhà nghiên cứu của công ty, Edward Kotysh và Christian Vari, đã giải thích tại sao đây là một rủi ro lớn.
Theo các nhà nghiên cứu, lỗ hổng nằm ở chỗ các hàm BeginBlock và EndBlock không bị đo lường gas. Điều này là theo thiết kế, vì nó cho phép các nhà phát triển có một chút thời gian tính toán miễn phí, vì hai hàm này không nhất thiết ảnh hưởng đến các giao dịch của người dùng.
Tuy nhiên, các chuyên gia bảo mật cảnh báo rằng những gì có nghĩa là một khoảng thời gian nhỏ cho các nhà phát triển thực sự có thể gây ra thiệt hại đáng kể cho các mạng dựa trên Cosmos theo một số cách. Chúng bao gồm gây tắc nghẽn mạng, ảnh hưởng đến trình xác thực hoặc thậm chí dẫn đến ngừng hoạt động hoàn toàn.
Họ nói:
“Sự tự do này có thể là một con dao hai lưỡi, và nó có thể mở ra một hộp Pandora của những lỗ hổng tiềm ẩn. Vấn đề chính là nếu không có giới hạn gas, mã không được tối ưu hóa hoặc mã độc hại trong BeginBlock và EndBlock có thể gây ra hỗn loạn thực sự.”
Các nhà nghiên cứu đã thử nghiệm lý thuyết của họ về tác động tiềm tàng của lỗ hổng bằng cách tiến hành các thí nghiệm. Trong một trong những thí nghiệm, họ đã giới thiệu các độ trễ ngẫu nhiên vào hàm BeginBlock ở các chiều cao khối khác nhau, với các độ trễ dao động từ năm giây đến một phút.
Từ các thí nghiệm, các chuyên gia xác nhận rằng các sự chậm trễ đã dẫn đến tình trạng tắc nghẽn đáng kể trong mạng lưới, làm chậm quá trình và tăng thời gian cần thiết để hoàn thành các khối. Nó cũng ảnh hưởng đến các validator, với một số trong số họ không ký các khối vào thời điểm yêu cầu và một số hoàn toàn bỏ lỡ các giai đoạn bỏ phiếu.
Không có gì ngạc nhiên khi số lượng hạn chế các validator có sẵn để ký các giao dịch ( ít hơn hai phần ba ) có nghĩa là chuỗi thử nghiệm gặp phải sự cố tạm thời. Các nhà nghiên cứu đã lưu ý rằng điều này có thể dẫn đến sự cố hoàn toàn trên mạng chính, nơi có nhiều giao dịch diễn ra cùng một lúc cần được hoàn tất.
Oak Security khuyến nghị các sửa chữa cho các nhà phát triển
Trong khi đó, các chuyên gia an ninh đã đề xuất các giải pháp để khắc phục lỗ hổng trước khi một tác nhân xấu khai thác nó. Theo họ, cần phải triển khai các giới hạn tính toán nghiêm ngặt để ngay cả khi ai đó cũng không thể đơn giản thêm bất kỳ vectơ tấn công nào sẽ gây ra tính toán quá mức.
Họ đã xác định ba cách khác nhau để triển khai giải pháp này. Bao gồm việc thêm độ phức tạp thời gian vào các hàm BeginBlock và EndBlock để chúng không chạy vô hạn, bọc ngữ cảnh để giữ các hoạt động tốn tài nguyên vào các ngữ cảnh có đo lường, và xác thực tất cả các đầu vào cho hàm.
Ngoài ra, họ kêu gọi cần có thêm các thử nghiệm và mô phỏng toàn diện hơn để xác định cách mà lỗ hổng có thể bị khai thác và tiềm năng của tác động của nó.
Họ cũng xác định các biện pháp bảo vệ kiến trúc và giám sát hoạt động để đảm bảo các mạng hoạt động theo các tiêu chuẩn đo lường và phát hiện bất kỳ sự sai lệch đáng kể nào.
Cosmos SDK ra mắt phiên bản mới
Trong khi đó, Cosmos SDK vẫn chưa có bình luận về báo cáo bảo mật và liệu họ có làm gì để giải quyết vấn đề này hay không. Điều này có thể là do lỗ hổng được xác định thực chất là một tính năng thiết kế chứ không phải là lỗi hoặc phần mềm độc hại, giống như các cảnh báo bảo mật gần đây về các cuộc tấn công chuỗi cung ứng.
May mắn thay, các nhà phát triển sử dụng Cosmos SDK có thể thực hiện hầu hết các khuyến nghị từ các chuyên gia bảo mật, cho phép họ kiểm soát những gì họ triển khai và đảm bảo rằng nó không dễ bị tấn công DDoS.
Thú vị thay, Cosmos SDK gần đây đã ra mắt phiên bản v0.53.0. Theo thông báo trên X, phiên bản này là phản hồi cho những điểm đau mà các nhà phát triển đã nêu lên về phiên bản trước.
Phiên bản mới nhất được cho là đi kèm với các giao dịch không có thứ tự, khả năng cải thiện cho các bể cộng đồng, cơ chế quản trị tùy chỉnh, các thời kỳ, và việc đúc tùy chỉnh. Nó cũng đi kèm với việc sửa lỗi, và các nhà phát triển đã có thể nâng cấp lên nó trên GitHub.
Cosmos SDK là một công cụ cho các nhà phát triển dễ dàng xây dựng mạng lưới tùy chỉnh của riêng họ và tích hợp với blockchain Cosmos, một mạng lưới đang tìm cách trở thành Internet của các Khối.
Cryptopolitan Academy: Bạn muốn tăng trưởng tiền của mình vào năm 2025? Hãy học cách làm điều đó với DeFi trong lớp học trực tuyến sắp tới của chúng tôi. Đặt chỗ của bạn
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Lỗ hổng bảo mật trong Cosmos SDK có thể cho phép các cuộc tấn công DDoS
Công ty bảo mật Blockchain Oak Security đã bày tỏ lo ngại về một lỗ hổng trong bộ phát triển phần mềm Cosmos chain (SDK) có thể dẫn đến một cuộc tấn công Từ chối Dịch vụ Phân tán (DDoS) vào mạng lưới. Trong một bài viết trên Medium, hai nhà nghiên cứu của công ty, Edward Kotysh và Christian Vari, đã giải thích tại sao đây là một rủi ro lớn.
Theo các nhà nghiên cứu, lỗ hổng nằm ở chỗ các hàm BeginBlock và EndBlock không bị đo lường gas. Điều này là theo thiết kế, vì nó cho phép các nhà phát triển có một chút thời gian tính toán miễn phí, vì hai hàm này không nhất thiết ảnh hưởng đến các giao dịch của người dùng.
Tuy nhiên, các chuyên gia bảo mật cảnh báo rằng những gì có nghĩa là một khoảng thời gian nhỏ cho các nhà phát triển thực sự có thể gây ra thiệt hại đáng kể cho các mạng dựa trên Cosmos theo một số cách. Chúng bao gồm gây tắc nghẽn mạng, ảnh hưởng đến trình xác thực hoặc thậm chí dẫn đến ngừng hoạt động hoàn toàn.
Họ nói:
“Sự tự do này có thể là một con dao hai lưỡi, và nó có thể mở ra một hộp Pandora của những lỗ hổng tiềm ẩn. Vấn đề chính là nếu không có giới hạn gas, mã không được tối ưu hóa hoặc mã độc hại trong BeginBlock và EndBlock có thể gây ra hỗn loạn thực sự.”
Các nhà nghiên cứu đã thử nghiệm lý thuyết của họ về tác động tiềm tàng của lỗ hổng bằng cách tiến hành các thí nghiệm. Trong một trong những thí nghiệm, họ đã giới thiệu các độ trễ ngẫu nhiên vào hàm BeginBlock ở các chiều cao khối khác nhau, với các độ trễ dao động từ năm giây đến một phút.
Từ các thí nghiệm, các chuyên gia xác nhận rằng các sự chậm trễ đã dẫn đến tình trạng tắc nghẽn đáng kể trong mạng lưới, làm chậm quá trình và tăng thời gian cần thiết để hoàn thành các khối. Nó cũng ảnh hưởng đến các validator, với một số trong số họ không ký các khối vào thời điểm yêu cầu và một số hoàn toàn bỏ lỡ các giai đoạn bỏ phiếu.
Không có gì ngạc nhiên khi số lượng hạn chế các validator có sẵn để ký các giao dịch ( ít hơn hai phần ba ) có nghĩa là chuỗi thử nghiệm gặp phải sự cố tạm thời. Các nhà nghiên cứu đã lưu ý rằng điều này có thể dẫn đến sự cố hoàn toàn trên mạng chính, nơi có nhiều giao dịch diễn ra cùng một lúc cần được hoàn tất.
Oak Security khuyến nghị các sửa chữa cho các nhà phát triển
Trong khi đó, các chuyên gia an ninh đã đề xuất các giải pháp để khắc phục lỗ hổng trước khi một tác nhân xấu khai thác nó. Theo họ, cần phải triển khai các giới hạn tính toán nghiêm ngặt để ngay cả khi ai đó cũng không thể đơn giản thêm bất kỳ vectơ tấn công nào sẽ gây ra tính toán quá mức.
Họ đã xác định ba cách khác nhau để triển khai giải pháp này. Bao gồm việc thêm độ phức tạp thời gian vào các hàm BeginBlock và EndBlock để chúng không chạy vô hạn, bọc ngữ cảnh để giữ các hoạt động tốn tài nguyên vào các ngữ cảnh có đo lường, và xác thực tất cả các đầu vào cho hàm.
Ngoài ra, họ kêu gọi cần có thêm các thử nghiệm và mô phỏng toàn diện hơn để xác định cách mà lỗ hổng có thể bị khai thác và tiềm năng của tác động của nó.
Họ cũng xác định các biện pháp bảo vệ kiến trúc và giám sát hoạt động để đảm bảo các mạng hoạt động theo các tiêu chuẩn đo lường và phát hiện bất kỳ sự sai lệch đáng kể nào.
Cosmos SDK ra mắt phiên bản mới
Trong khi đó, Cosmos SDK vẫn chưa có bình luận về báo cáo bảo mật và liệu họ có làm gì để giải quyết vấn đề này hay không. Điều này có thể là do lỗ hổng được xác định thực chất là một tính năng thiết kế chứ không phải là lỗi hoặc phần mềm độc hại, giống như các cảnh báo bảo mật gần đây về các cuộc tấn công chuỗi cung ứng.
May mắn thay, các nhà phát triển sử dụng Cosmos SDK có thể thực hiện hầu hết các khuyến nghị từ các chuyên gia bảo mật, cho phép họ kiểm soát những gì họ triển khai và đảm bảo rằng nó không dễ bị tấn công DDoS.
Thú vị thay, Cosmos SDK gần đây đã ra mắt phiên bản v0.53.0. Theo thông báo trên X, phiên bản này là phản hồi cho những điểm đau mà các nhà phát triển đã nêu lên về phiên bản trước.
Phiên bản mới nhất được cho là đi kèm với các giao dịch không có thứ tự, khả năng cải thiện cho các bể cộng đồng, cơ chế quản trị tùy chỉnh, các thời kỳ, và việc đúc tùy chỉnh. Nó cũng đi kèm với việc sửa lỗi, và các nhà phát triển đã có thể nâng cấp lên nó trên GitHub.
Cosmos SDK là một công cụ cho các nhà phát triển dễ dàng xây dựng mạng lưới tùy chỉnh của riêng họ và tích hợp với blockchain Cosmos, một mạng lưới đang tìm cách trở thành Internet của các Khối.
Cryptopolitan Academy: Bạn muốn tăng trưởng tiền của mình vào năm 2025? Hãy học cách làm điều đó với DeFi trong lớp học trực tuyến sắp tới của chúng tôi. Đặt chỗ của bạn