Os desenvolvedores do Cosmos corrigiram um bug de segurança 'crítico' em seu protocolo de Comunicação Inter-Blockchain (IBC) que colocou pelo menos US$ 126 milhões em risco, disse uma empresa de segurança blockchain que notificou privadamente o Cosmos sobre o problema.
"Nós divulgamos a vulnerabilidade de forma privada através do programa de recompensas por bugs HackerOne do Cosmos e o problema agora está corrigido," disse a Asymmetric Research em 23 de abril.
"Nenhuma exploração maliciosa ocorreu e nenhum fundo foi perdido", acrescentou.
O bug poderia ter permitido um ataque de reentrância, permitindo que um hacker criasse tokens infinitos em cadeias conectadas ao IBC, como Osmosis e outros ecossistemas de finanças descentralizadas no Cosmos.
“Acreditamos que pelo menos mais de US$ 126 milhões em ativos poderiam ter sido roubados na Osmosis. No entanto, o controle de taxa na Osmosis reduz o dano que poderia ser causado.”
Os limites de taxa servem para prevenir ou pelo menos mitigar ataques que tentam sobrecarregar um sistema controlando a taxa na qual as solicitações são feitas.
A Asymmetric observou que o bug existe no ibc-go, uma implementação de linguagem de programação de alto nível do IBC, desde o seu lançamento em 2021.
No entanto, o bug só se tornou recentemente explorável depois que os desenvolvedores do Cosmos lançaram um novo aplicativo de terceiros chamado middleware do IBC, que permite que tokens do padrão de token intercadeia ICS20 para cross-chain.
"Este problema demonstra como é fácil quebrar suposições de confiança e introduzir novas vulnerabilidades adicionando novos recursos e funcionalidades. É também mais um exemplo da importância da defesa em profundidade", enfatizou a Asymmetric.
"Essa vulnerabilidade destaca a necessidade crítica de mais pesquisas sobre os riscos de segurança cross-chain para proteger melhor o ecossistema multicaadeias."
O bug foi corrigido pelo desenvolvedor do Cosmos, Carlos Rodríguez, cerca de três semanas atrás, conforme mostra um commit do GitHub.
Outra vulnerabilidade de segurança 'crítica' foi identificada no protocolo IBC em outubro de 2022, que afetou todas as cadeias conectadas ao IBC, mas foi corrigida antes de qualquer possível exploração.