ゲート・ニュース、4月22日—セキュリティ研究者のドヨン・パーク氏が、Cosmosのコンセンサス層CometBFTにおける重要なCVSS 7.1のゼロデイ脆弱性を開示した。この脆弱性により、ブロック同期の際にノードがフリーズし、$8 billionドル相当の資産を担保するネットワークに影響する可能性がある。脆弱性は直接的に資金を盗むことはできない。
パーク氏は2月22日に協調的開示プロセスを開始したが、ベンダーからの抵抗に遭遇した。ベンダーは、公開のGitHub issueの提出を求める一方で、公開開示は拒否した。3月4日、HackerOneは2件目の報告をスパムとして扱った。3月6日、ベンダーは関連する脆弱性 (CVE-2025-24371) を恣意的に「informational」レベルへダウングレードし、国際的な基準を退けた。パーク氏は、この判断に対抗するため、4月21日に欠陥を公に開示する前に、ネットワークレベルの概念実証を提出した。
パーク氏は、Cosmosのバリデーターに対し、パッチがリリースされる前にノードを再起動しないことを推奨している。すでにコンセンサス・モードにあるノードは引き続き稼働できるが、再起動して同期に入ると、悪意あるピアからの攻撃にさらされ、デッドロックの可能性がある。
