A investigadora de segurança Doyeon Park revelou em 21 de abril a existência de uma vulnerabilidade zero-day de criticidade alta com nível CVSS 7.1 na camada de consenso do Cosmos, o CometBFT. A falha pode permitir que nós sejam atacados por pares maliciosos durante a fase de sincronização de blocos (BlockSync), acabando por entrar em deadlock (bloqueio permanente), afetando uma rede que protege ativos no valor de mais de 8 mil milhões de dólares.
Princípio técnico da vulnerabilidade: deadlock infinito causado por manipulação altamente reportada de nós maliciosos
A vulnerabilidade reside no mecanismo de BlockSync do CometBFT. Em condições normais, aquando da ligação os pares reportam alturas mais recentes (latest) de forma incremental. No entanto, o código atual não valida o cenário em que um par reporta primeiro uma altura X e depois reporta uma altura inferior Y — por exemplo, reportar primeiro 2000 e, em seguida, 1001. Neste caso, o nó A na sincronização ficará à espera, de forma permanente, de alcançar a altura 2000, mesmo que o nó malicioso se desligue; a altura-alvo não é recalculada, levando o nó a entrar em deadlock infinito, incapaz de se reintegrar na rede. As versões afetadas são <= v0.38.16 e v1.0.0; as versões corrigidas são v1.0.1 e v0.38.17.
Falha na divulgação coordenada: linha temporal completa da degradação do CVE pelo fornecedor
Park seguiu o processo padrão de divulgação coordenada de vulnerabilidades (CVD), mas encontrou obstáculos várias vezes durante o processo: a 22 de fevereiro submeteu o primeiro relatório; o fornecedor pediu que fosse submetido sob a forma de uma issue pública no GitHub, mas recusou a divulgação pública; a 4 de março, o segundo relatório foi marcado pela HackerOne como spam; a 6 de março, o fornecedor reduziu por conta própria a gravidade da vulnerabilidade de “médio/alto” para “informativa (impacto negligenciável)”, e Park submeteu uma prova de conceito (PoC) a nível de rede para refutar essa decisão; a 21 de abril foi tomada finalmente a decisão de divulgar publicamente.
Park também referiu que o fornecedor tinha efetuado previamente uma operação de degradação semelhante para o CVE-2025-24371, uma vulnerabilidade com efeitos semelhantes, o que é considerado violar normas internacionalmente reconhecidas para avaliação de vulnerabilidades, como o CVSS.
Orientações de emergência: ações que os validadores precisam de tomar agora
Antes da implementação oficial do patch, Park recomenda que todos os validadores do Cosmos evitem ao máximo reiniciar os nós. Os nós que já se encontram no modo de consenso podem continuar a funcionar normalmente; no entanto, se forem reiniciados e entrarem no processo de sincronização BlockSync, poderão entrar em deadlock devido a um ataque por parte de nós maliciosos.
Como medida de mitigação temporária: se for detetado que o BlockSync ficou “preso”, pode-se identificar os pares maliciosos que reportam alturas inválidas aumentando o nível de registo (log), e bloquear esse nó na camada P2P. A solução mais fundamental é fazer upgrade o mais rapidamente possível para as versões corrigidas v1.0.1 ou v0.38.17.
Perguntas frequentes
Esta vulnerabilidade do CometBFT consegue roubar ativos diretamente?
Não. Esta vulnerabilidade não consegue roubar ativos diretamente nem comprometer a segurança dos fundos na cadeia. O seu impacto é fazer com que os nós entrem em deadlock na fase de sincronização BlockSync, impedindo que os nós participem corretamente na rede. Isto pode afetar a capacidade dos validadores de propor blocos (propor) e de votar, afetando assim a atividade das cadeias de blocos relacionadas.
Como é que os validadores podem determinar se um nó foi atacado por esta vulnerabilidade?
Se um nó ficar preso na fase BlockSync, a paragem da progressão da altura-alvo é um sinal possível. Pode-se aumentar o nível de registo do módulo BlockSync para verificar se há registos de pares que tenham enviado mensagens de altura anormais, permitindo identificar potenciais nós maliciosos e bloqueá-los na camada P2P.
O facto de o fornecedor ter degradado a vulnerabilidade para “informativa” cumpre os padrões?
A pontuação CVSS de Park (7.1, alta) baseia-se no método padrão internacional de avaliação, e Park apresentou uma PoC verificável a nível de rede para refutar a decisão de degradação. O facto de o fornecedor a ter reduzido para “impacto negligenciável” é considerado pela comunidade de segurança como uma violação das normas internacionalmente reconhecidas para avaliação de vulnerabilidades, como o CVSS. Esta controvérsia é também uma das razões centrais para Park ter decidido, por fim, divulgar publicamente.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Litecoin passa por uma profunda reorganização em cadeia para reverter o exploit da camada de privacidade MWEB
Mensagem de Notícias da Gate, 26 de abril — A Litecoin registou uma profunda reorganização em cadeia (reorg) no sábado, depois de atacantes terem explorado uma vulnerabilidade zero-day na sua camada de privacidade MimbleWimble Extension Block (MWEB), segundo
GateNews43m atrás
Apecoin Insider Transforma $174K em 2,45M$ num Só Dia com 14x Negócios dos Dois Lados de um Rali de 80%
Uma carteira anónima, sem historial de negociação prévio, transformou $174,000 em éter ($ETH) em $2,45 milhões ao negociar Apecoin em ambos os lados de um aumento de preço de 80% num único dia.
Principais conclusões:
A carteira 0x0b8a converteu $174,000 em ETH para uma compra alavancada de Apecoin (long), saindo perto do topo para um resultado de $1,79M
Coinpedia1h atrás
Polícia de Hong Kong Desmantela Rede de Fraude Transfronteiriça que Visava Estudantes no Estrangeiro, Apreendendo HK$5M em Ativos
Mensagem da Gate News, 26 de abril — A polícia de Hong Kong desmantelou uma rede de fraude transfronteiriça que visava estudantes chineses no estrangeiro que estudavam fora do país, de acordo com a comunicação social local. A organização criminosa fingiu ser funcionários da aplicação da lei e coagiu as vítimas a deslocarem-se a Hong Kong para comprar barras de ouro como "c
GateNews1h atrás
Reorganização do Litecoin anula exploração da camada de privacidade MWEB
O Litecoin passou por uma profunda reorganização da cadeia no sábado, após os atacantes terem explorado uma vulnerabilidade zero-day na sua camada de privacidade (MWEB) MimbleWimble Extension Block, de acordo com a Litecoin Foundation. O incidente resultou numa reorganização de três horas que apagou transacções inválidas de
CryptoFrontier7h atrás
Fraude com Laptop Farm por programadores de TI da Coreia do Norte: cúmplice dos EUA condenado a 7-9 anos, e ao longo de dois anos arrecadou 2,8 mil milhões de dólares
Relatório da Fortune: a Coreia do Norte, através de quintas de laptops nos EUA, obteve cerca de 2,8 mil milhões de USD de receitas acumuladas em dois anos para apoiar armas nucleares; contribui anualmente 250 a 600 milhões de USD. O arguido de nacionalidade norte-americana Kejia Wang e Zhenxing Wang foram condenados, respetivamente, a 7,5 anos e 9 anos, estando implicados em mais de cem empresas e na usurpação de identidade de 80 pessoas. A Coreia do Norte opera nos EUA com identidades norte-americanas e dispositivos fixos, e os fundos são maioritariamente convertidos por criptomoeda. Especialistas alertam que a rede de cúmplices no país ainda existe, e que as empresas devem reforçar a verificação de identidade, o rastreio de endereços e a análise de fuso horário/IP.
ChainNewsAbmedia10h atrás
Polícia de Hong Kong alerta para um aumento nos golpes de cripto; Duas mulheres perdem US$1,24M nas últimas semanas
Mensagem do Gate News, 25 de abril — Duas mulheres de Hong Kong perderam, no total, HK$9,7 milhões (US$1,24 milhão) para golpistas de cripto ao longo das últimas semanas, levando a polícia local a emitir um aviso público. A polícia de Hong Kong comunicou mais de 80 casos de fraude numa única semana, com perdas totais superiores a HK$80 milhão (U
GateNews10h atrás
