นักวิจัยด้านความปลอดภัย Doyeon Park เปิดเผยเมื่อวันที่ 21 เมษายน ว่ามีช่องโหว่ศูนย์เดย์ระดับความรุนแรงสูงขั้น CVSS 7.1 ในชั้นฉันทามติของ Cosmos ที่อยู่ใน CometBFT ซึ่งอาจทำให้โหนดถูกโจมตีโดยเพียร์ที่เป็นอันตรายในระหว่างขั้น BlockSync จนเข้าสู่ภาวะดีดล็อก (deadlock) ส่งผลกระทบต่อเครือข่ายที่ดูแลสินทรัพย์มากกว่า 8 พันล้านดอลลาร์สหรัฐ
หลักการทางเทคนิคของช่องโหว่: เพียร์ที่เป็นอันตรายรายงานความสูงแบบบิดเบือนสูงจนเกิดดีดล็อกไม่สิ้นสุด
ช่องโหว่นี้อยู่ในกลไก BlockSync ของ CometBFT ในสถานการณ์ปกติ เมื่อต่อเชื่อมกัน เพียร์จะรายงานความสูงบล็อกล่าสุดที่เพิ่มขึ้นเรื่อย ๆ (latest) อย่างไรก็ตาม โค้ดปัจจุบันไม่ได้ตรวจสอบกรณีที่เพียร์รายงานความสูง X ก่อน แล้วจึงรายงานความสูงที่ต่ำกว่า Y ภายหลัง—เช่น รายงาน 2000 ก่อน แล้วรายงาน 1001 ในกรณีนี้ โหนดระหว่างการซิงก์ A จะรอ “ตามให้ทัน” ที่ความสูง 2000 อย่างถาวร แม้ว่าเพียร์ที่เป็นอันตรายจะหลุดการเชื่อมต่อ เป้าหมายความสูงจะไม่ถูกคำนวณใหม่ ทำให้โหนดเข้าสู่ดีดล็อกไม่สิ้นสุด ไม่สามารถกลับเข้าร่วมเครือข่ายได้ เวอร์ชันที่ได้รับผลกระทบคือ <= v0.38.16 และ v1.0.0 โดยเวอร์ชันที่แก้ไขแล้วคือ v1.0.1 และ v0.38.17
การเปิดเผยแบบประสานงานที่ล้มเหลว: ไทม์ไลน์เต็มของการลดระดับ CVE โดยผู้ให้บริการ
Park ปฏิบัติตามกระบวนการมาตรฐานของการเปิดเผยช่องโหว่แบบประสานงาน (CVD) แต่ระหว่างทางกลับประสบอุปสรรคหลายครั้ง: วันที่ 22 กุมภาพันธ์ ส่งรายงานฉบับแรก ผู้ให้บริการขอให้ส่งในรูปแบบ GitHub issue ที่เปิดเผยต่อสาธารณะ แต่ปฏิเสธการเปิดเผยต่อสาธารณะ; วันที่ 4 มีนาคม รายงานฉบับที่สองถูก HackerOne ทำเครื่องหมายว่าเป็นสแปม; วันที่ 6 มีนาคม ผู้ให้บริการลดระดับความรุนแรงของช่องโหว่จาก “ปานกลาง/สูง” ด้วยตนเองเป็น “เชิงข้อมูล (ผลกระทบไม่สำคัญ)” Park จึงส่งแนวคิดสำหรับการพิสูจน์ในระดับเครือข่าย (PoC) เพื่อโต้แย้ง และสุดท้ายวันที่ 21 เมษายน จึงตัดสินใจเปิดเผยต่อสาธารณะ
Park ยังชี้ให้เห็นว่า ก่อนหน้านี้ผู้ให้บริการเคยทำการลดระดับลักษณะคล้ายกันกับช่องโหว่ CVE-2025-24371 ที่มีผลกระทบเหมือนกัน ซึ่งถูกมองว่าเป็นการละเมิดมาตรฐานการประเมินช่องโหว่ระหว่างประเทศที่ได้รับการยอมรับอย่างกว้างขวาง เช่น CVSS
คำแนะนำเร่งด่วน: การดำเนินการที่ผู้ยืนยันควรทำตอนนี้
ก่อนที่จะมีการติดตั้งแพตช์อย่างเป็นทางการ Park แนะนำให้ผู้ยืนยัน (Cosmos validators) ทุกคนพยายามหลีกเลี่ยงการรีสตาร์ทโหนด โหนดที่อยู่ในโหมดฉันทามติสามารถทำงานได้ตามปกติ แต่หากมีการรีสตาร์ทและเข้าสู่ขั้นตอนการซิงก์ BlockSync อาจทำให้ถูกโจมตีโดยเพียร์ที่เป็นอันตรายจนเกิดดีดล็อก
ในฐานะมาตรการบรรเทาชั่วคราว: หากพบว่า BlockSync ค้าง สามารถตรวจจับเพียร์ที่เป็นอันตรายที่รายงานความสูงที่ไม่ถูกต้องได้ด้วยการเพิ่มระดับบันทึก (log) และบล็อกเพียร์ดังกล่าวในชั้น P2P วิธีแก้ที่สำคัญที่สุดคืออัปเกรดให้เร็วที่สุดเป็นเวอร์ชันที่แก้ไขแล้ว v1.0.1 หรือ v0.38.17
คำถามที่พบบ่อย
ช่องโหว่นี้ของ CometBFT สามารถขโมยสินทรัพย์ได้โดยตรงหรือไม่?
ไม่ได้ ช่องโหว่นี้ไม่สามารถขโมยสินทรัพย์โดยตรงหรือทำให้ความปลอดภัยของเงินบนเชนถูกกระทบได้โดยตรง ผลกระทบคือทำให้โหนดเข้าสู่ดีดล็อกในระหว่างขั้นการซิงก์ BlockSync ทำให้โหนดไม่สามารถเข้าร่วมเครือข่ายได้ตามปกติ อาจส่งผลต่อความสามารถของผู้ยืนยันในการออกบล็อกและลงคะแนนเสียง ซึ่งจะส่งผลต่อความมีชีวิตชีวาของบล็อกเชนที่เกี่ยวข้องด้วย
ผู้ยืนยันจะประเมินได้อย่างไรว่าโหนดถูกโจมตีด้วยช่องโหว่นี้แล้ว?
หากโหนดค้างในระหว่างขั้น BlockSync และความสูงเป้าหมายหยุดเพิ่มขึ้น นี่เป็นสัญญาณที่เป็นไปได้ สามารถเพิ่มระดับบันทึกของมอดูล BlockSync เพื่อตรวจสอบว่ามีบันทึกเพียร์ที่ได้รับข้อความความสูงผิดปกติหรือไม่ เพื่อระบุเพียร์ที่เป็นอันตรายที่อาจเกิดขึ้น และทำการบล็อกในชั้น P2P
การที่ผู้ให้บริการลดระดับช่องโหว่เป็น “เชิงข้อมูล” เป็นไปตามมาตรฐานหรือไม่?
คะแนน CVSS ของ Park (7.1, ระดับสูง) อ้างอิงจากวิธีการให้คะแนนมาตรฐานระดับนานาชาติ และ Park ได้ส่ง PoC ระดับเครือข่ายที่ตรวจสอบได้เพื่อโต้แย้งการตัดสินใจลดระดับ ผู้ให้บริการลดระดับมันเป็น “ผลกระทบไม่สำคัญ” ซึ่งชุมชนความปลอดภัยมองว่าเป็นการละเมิดมาตรฐานการประเมินช่องโหว่ระดับนานาชาติที่ได้รับการยอมรับ เช่น CVSS ความขัดแย้งนี้จึงเป็นหนึ่งในเหตุผลหลักที่ทำให้ Park ตัดสินใจเปิดเผยต่อสาธารณะในที่สุด
