Обнаружена нулевая уязвимость в CometBFT: узлы сети Cosmos на 8 миллиардов долларов США сталкиваются с риском полного зависания

Исследователь по безопасности Doyeon Park 21 апреля публично раскрыл, что в слое консенсуса Cosmos CometBFT присутствует критическая уязвимость нулевого дня с уровнем опасности CVSS 7.1. Она может привести к атаке вредоносными пировыми узлами на этапе синхронизации блоков (BlockSync), в результате чего узел впадёт в состояние взаимной блокировки (deadlock), затрагивая сеть, которая защищает активы более чем на 8 млрд долларов.

Технический принцип уязвимости: манипуляция с высокой частотой заявлений о высоте, приводящая к бесконечной взаимной блокировке

Уязвимость находится в механизме BlockSync CometBFT. В нормальной ситуации при подключении пиров они сообщают увеличивающуюся самую актуальную высоту блока (latest). Однако в имеющемся коде не проверяется случай, когда пиру сначала сообщают высоту X, а затем — более низкую высоту Y; например, сначала сообщают 2000, а затем 1001. В этом случае узел A, находящийся в процессе синхронизации, будет ждать бесконечно, пытаясь догнать высоту 2000, даже если вредоносный узел отключится; целевая высота при этом не будет пересчитана, что приводит к бесконечной взаимной блокировке и невозможности повторного присоединения узла к сети. Затронутые версии: <= v0.38.16 и v1.0.0. Исправленные версии: v1.0.1 и v0.38.17.

Провал координированного раскрытия: полная временная шкала, как поставщик снизил CVE

Park следовал стандартному процессу координированного раскрытия уязвимостей (CVD), но в ходе процесса несколько раз возникали препятствия: 22 февраля он подал первую заявку, а поставщик потребовал оформить её в виде публичного GitHub issue, отказавшись публиковать информацию; 4 марта вторая заявка была помечена в HackerOne как спам; 6 марта поставщик самостоятельно снизил серьёзность уязвимости с «средней/высокой» до «информационной (влияние можно игнорировать)», а Park подал сетевой концептуальный proof-of-concept (PoC), чтобы опровергнуть это решение; 21 апреля было принято окончательное решение о публичном раскрытии.

Park также отметил, что ранее поставщик уже выполнял аналогичные действия по снижению для CVE-2025-24371 — уязвимости с тем же воздействием, что, как считается, нарушает общепринятые международные стандарты оценки уязвимостей, такие как CVSS.

Экстренные указания: какие действия должны предпринять валидаторы сейчас

До официального развёртывания патча Park рекомендует всем валидаторам Cosmos по возможности избегать перезапуска узлов. Узлы, уже находящиеся в режиме консенсуса, могут продолжать работать нормально; но если узел перезапустить и он войдёт в процесс синхронизации BlockSync, он может впасть в взаимную блокировку из-за атаки вредоносных узлов.

В качестве временной меры смягчения: если BlockSync зависает, можно выявить вредоносных пиров, отправляющих недействительные высоты, повысив уровень логов и подобным образом отслеживая сообщения, и затем заблокировать этот узел на уровне P2P. Самое фундаментальное решение — как можно скорее обновиться до уже исправленных версий v1.0.1 или v0.38.17.

Часто задаваемые вопросы

Можно ли напрямую украсть активы с помощью этой уязвимости в CometBFT?

Нет. Эта уязвимость не позволяет напрямую украсть активы или поставить под угрозу безопасность средств в сети блокчейна. Её влияние заключается в том, что узел впадает в взаимную блокировку на этапе синхронизации BlockSync, из-за чего он не может нормально участвовать в сети. Это может повлиять на способность валидаторов производить блоки и голосовать, тем самым снижая активность соответствующего блокчейна.

Как валидаторы могут определить, что узел подвергся атаке этой уязвимости?

Если узел зависает на этапе BlockSync, то остановка увеличения целевой высоты — один из возможных признаков. Можно повысить уровень логирования модуля BlockSync и проверить, есть ли записи о принимаемых сообщениях о необычных высотах от пиров, чтобы выявить потенциально вредоносные узлы, а затем заблокировать их на уровне P2P.

Соответствует ли стандартам снижение уязвимости поставщиком до «информационной»?

Оценка CVSS Park (7.1, высокая) основана на стандартной международной методике оценивания, и Park представил поддающийся проверке сетевой PoC, чтобы опровергнуть решение о снижении. Поставщик снизил оценку до «влияние можно игнорировать», и безопасностное сообщество считает, что это нарушает общепринятые международные стандарты оценки уязвимостей, такие как CVSS. Именно этот спор является одной из ключевых причин, по которым Park в итоге принял решение о публичном раскрытии.