ข้อความ Gate News วันที่ 22 เมษายน — นักวิจัยด้านความปลอดภัย โดยอน พาร์ค (Doyeon Park) เปิดเผยช่องโหว่ศูนย์วันร้ายแรง CVSS 7.1 ในเลเยอร์ฉันทามติ CometBFT ของ Cosmos ซึ่งอาจทำให้โหนดค้างระหว่างการซิงก์บล็อก และอาจส่งผลต่อเครือข่ายที่รักษาความปลอดภัยให้กับสินทรัพย์มูลค่ามากกว่า $8 พันล้านดอลลาร์สหรัฐ ช่องโหว่นี้ไม่สามารถขโมยเงินได้โดยตรง

พาร์คเริ่มกระบวนการเปิดเผยแบบประสานงานเมื่อวันที่ 22 กุมภาพันธ์ แต่พบกับการต่อต้านจากผู้จำหน่าย ซึ่งขอให้ส่งคำร้อง (issue) ต่อสาธารณะบน GitHub ในขณะที่ปฏิเสธการเปิดเผยต่อสาธารณะ เมื่อวันที่ 4 มีนาคม HackerOne ได้ทำเครื่องหมายรายงานครั้งที่สองของเขาว่าเป็นสแปม เมื่อวันที่ 6 มีนาคม ผู้จำหน่ายได้ลดระดับช่องโหว่ที่เกี่ยวข้อง (CVE-2025-24371) อย่างไม่สมเหตุสมผลเป็นระดับ “ข้อมูลเชิงสนเทศ” (“informational”) โดยมองข้ามมาตรฐานสากล พาร์คจึงส่งโพรฟ์ออฟคอนเซ็ปต์ระดับเครือข่ายเพื่อโต้แย้งการตัดสินใจก่อนที่จะเปิดเผยข้อบกพร่องดังกล่าวต่อสาธารณะในวันที่ 21 เมษายน

พาร์คแนะนำให้ผู้ตรวจสอบความถูกต้อง (validators) ของ Cosmos หลีกเลี่ยงการรีสตาร์ตโหนดก่อนที่จะมีการเผยแพร่แพตช์ โหนดที่อยู่ในโหมดฉันทามติแล้วสามารถทำงานต่อได้ แต่การรีสตาร์ตและเข้าสู่การซิงก์อาจทำให้โหนดเสี่ยงต่อการถูกโจมตีจากเพียร์ที่เป็นอันตราย ซึ่งอาจนำไปสู่ภาวะชะงักงัน (deadlock).

news.view.source

news.article.disclaimer

news.related.news

04-22 01:01

Sui DeFi 協議 Volo 遭遇安全漏洞，資產 350 萬美元被竊

04-21 13:12

นักวิจัยด้านความปลอดภัยเปิดเผยช่องโหว่ 0-day ของ CometBFT; ไม่สามารถขโมยสินทรัพย์โดยตรง

04-21 08:21

Arbitrum Security Council แช่แข็ง 30,766 ETH จากการเอ็กซ์พลอยต์ของ KelpDAO โดย 9 จาก 12 สมาชิกลงคะแนนเห็นด้วย

04-21 02:16

การวิเคราะห์ของ Dune: 47% ของ LayerZero OApps ใช้คอนฟิกความปลอดภัย DVN ขั้นต่ำแบบ 1-of-1

04-20 17:21