Tin nhắn Gate News, ngày 22 tháng 4 — Nhà nghiên cứu an ninh Doyeon Park đã công bố một lỗ hổng zero-day nghiêm trọng CVSS 7.1 trong lớp đồng thuận CometBFT của Cosmos, có thể khiến các nút bị treo trong quá trình đồng bộ hóa khối, tiềm ẩn ảnh hưởng đến các mạng bảo vệ hơn $8 tỷ USD tài sản. Lỗ hổng này không thể trực tiếp đánh cắp tiền.
Park đã khởi động quy trình công bố phối hợp vào ngày 22 tháng 2 nhưng gặp phải sự phản kháng từ phía nhà cung cấp, đơn vị yêu cầu nộp vấn đề công khai trên GitHub trong khi từ chối công bố công khai. Vào ngày 4 tháng 3, HackerOne đánh dấu báo cáo thứ hai của anh ấy là spam. Vào ngày 6 tháng 3, nhà cung cấp tùy tiện hạ mức một lỗ hổng liên quan (CVE-2025-24371) xuống mức “mang tính thông tin”, bác bỏ các tiêu chuẩn quốc tế. Park đã nộp một bản chứng minh khái niệm ở cấp mạng để phản biện quyết định này trước khi công bố công khai lỗi vào ngày 21 tháng 4.
Park khuyến nghị các trình xác thực Cosmos tránh khởi động lại các nút trước khi bản vá được phát hành. Các nút đã ở chế độ đồng thuận có thể tiếp tục vận hành, nhưng việc khởi động lại và bước vào quá trình đồng bộ có thể khiến chúng bị tấn công bởi các đối tượng ngang hàng độc hại, có khả năng gây bế tắc.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Lỗ hổng trong mã thực thi từ xa của Bitcoin Core ảnh hưởng đến công cụ đào, 43% nút chưa nâng cấp
Theo Protos, vào ngày 5 tháng 5, các nhà phát triển Bitcoin Core đã công bố công khai trên trang web chính thức một lỗ hổng mức độ nghiêm trọng cao CVE-2024-52911. Lỗ hổng này cho phép các thợ đào khai thác các khối được chế tạo sẵn để làm sập từ xa các nút của người dùng khác và, trong một số điều kiện nhất định, thực thi mã. Do việc nâng cấp toàn bộ node Bitcoin hiện là tự nguyện, ước tính vẫn còn khoảng 43% node đang chạy phiên bản phần mềm cũ có lỗ hổng.
MarketWhisper37phút trước
Lỗ hổng của Bitcoin Core CVE-2024-52911 cho phép thực thi mã từ xa; 43% số node vẫn chưa được vá
Theo Protos, các nhà phát triển Bitcoin Core gần đây đã công bố một lỗ hổng nghiêm trọng (CVE-2024-52911) ảnh hưởng tới các phiên bản từ 0.14.1 đến 28.4, cho phép thợ đào từ xa làm sập các nút và thực thi mã tùy ý bằng cách khai thác các khối được chế tạo đặc biệt. Được phát hiện vào tháng 11/2024 bởi nhà phát triển Cory
GateNews57phút trước
Ekubo: Hợp đồng định tuyến giao dịch EVM Swap gặp sự cố an toàn, Starknet không bị ảnh hưởng
Theo thông báo chính thức của AMM hạ tầng Ekubo được đăng trên nền tảng X vào ngày 6 tháng 5, hợp đồng định tuyến Swap của Ekubo trên chuỗi EVM đã gặp sự cố an toàn. Ekubo xác nhận rằng các nhà cung cấp thanh khoản (LP) và Starknet không bị ảnh hưởng bởi sự cố này; đội ngũ đang điều tra phạm vi sự cố và chuẩn bị báo cáo phân tích sau sự việc.
MarketWhisper1giờ trước
Kelp DAO trở thành giao thức chính đầu tiên loại bỏ LayerZero, chuyển sang sử dụng Chainlink CCIP
Theo The Block vào ngày 5 tháng 5, giao thức cho vay mượn DeFi Kelp DAO công bố từ bỏ LayerZero làm nhà cung cấp hạ tầng liên kết chuỗi, thay bằng giao thức khả năng tương tác xuyên chuỗi của Chainlink (CCIP); Kelp DAO là “giao thức lớn đầu tiên rời bỏ LayerZero kể từ khi xảy ra sự kiện lỗ hổng LayerZero”.
MarketWhisper1giờ trước
Drift công bố kế hoạch phục hồi sự cố tấn công của 295 triệu, bồi thường theo số tiền bị thiệt hại cho các ví bị nhắm mục tiêu
Theo thông báo chính thức được Drift Protocol đăng trên X vào ngày 6 tháng 5, Drift Protocol đã chính thức ra mắt chương trình khôi phục dành cho người dùng liên quan đến vụ hack ngày 1 tháng 4: mỗi ví bị ảnh hưởng sẽ nhận “token khôi phục” (Recovery Token), với mỗi token tương ứng 1 đô la Mỹ cho phần tổn thất đã được xác minh, như một bằng chứng để yêu cầu bồi thường theo tỷ lệ từ quỹ khôi phục.
MarketWhisper1giờ trước
