El investigador divulga una vulnerabilidad zero-day crítica con CVSS 7.1 en la capa de consenso de Cosmos CometBFT

Mensaje de Gate News, 22 de abril — El investigador de seguridad Doyeon Park divulgó una vulnerabilidad crítica zero-day con CVSS 7.1 en la capa de consenso de CometBFT de Cosmos que podría hacer que los nodos se congelen durante la sincronización de bloques, y que potencialmente afectaría a redes que protegen más de $8 billion en activos. La vulnerabilidad no puede robar fondos directamente.

Park inició un proceso de divulgación coordinada el 22 de febrero, pero se encontró con resistencia por parte del proveedor, que pidió la presentación de un problema público en GitHub mientras se negaba a la divulgación pública. El 4 de marzo, HackerOne marcó su segundo informe como spam. El 6 de marzo, el proveedor degradó arbitrariamente una vulnerabilidad relacionada (CVE-2025-24371) a nivel “informational”, desestimando los estándares internacionales. Park presentó una prueba de concepto a nivel de red para contrarrestar esa decisión antes de divulgar públicamente el fallo el 21 de abril.

Park recomienda que los validadores de Cosmos eviten reiniciar nodos antes de que se publique un parche. Los nodos que ya estén en modo de consenso pueden continuar operando, pero reiniciar e ingresar a la sincronización puede exponerlos a ataques de pares maliciosos, lo que podría causar interbloqueo.