-AD-
-AD-
StartNewsCosmos schützt Vermögenswerte im Wert von 126 Millionen Dollar durch Patching eines...

Cosmos schützt Vermögenswerte im Wert von 126 Millionen Dollar durch Patching eines kritischen Fehlers im IBC-Protokoll

- Advertisement -
  • Der Fehler stellte ein Risiko für einen Reentrancy-Angriff dar, der möglicherweise eine nicht autorisierte Token-Münzung über IBC-verbundene Ketten hinweg ermöglichte.
  • Aufgrund der sofortigen Maßnahmen, die ergriffen wurden, gingen keine Gelder verloren und die Ausnutzung der Schwachstelle durch böswillige Akteure wurde verhindert.

Die Cosmos-Entwickler haben vor kurzem eine schwerwiegende Sicherheitslücke in ihrem Inter-Blockchain-Kommunikationsprotokoll (IBC) behoben und damit einen potenziellen Diebstahl von rund 126 Millionen Dollar erfolgreich verhindert.

Diese Schwachstelle im IBC-Protokoll, das ein wesentlicher Bestandteil der Cosmos-Funktionalität ist, um Transaktionen über verschiedene Blockchains hinweg zu ermöglichen, wurde von der Blockchain-Sicherheitsfirma Asymmetric Research gemeldet.

Am 23. April gab Asymmetric Research bekannt, dass sie die Schwachstelle vertraulich über das Cosmos HackerOne Bug Bounty Programm gemeldet hatten, was zu einer raschen Lösung führte. “Es fand keine böswillige Ausnutzung statt und es gingen keine Gelder verloren”, versicherte das Unternehmen und wies auf wirksame Präventivmaßnahmen hin.

Die Art des Fehlers hätte einen Reentrancy-Angriff ermöglichen können, bei dem ein Hacker eine Funktion in einem Smart Contract rekursiv aufruft, was es ihm ermöglichen könnte, unbegrenzt Token in Netzwerken zu prägen, die über die IBC verbunden sind, wie Osmosis und verschiedene dezentrale Finanzplattformen, die auf Cosmos arbeiten.

Verwandt: Telekom, Bosch, Fetch.ai, und Cosmos: Vereinte Kräfte in der Blockchain- und KI-Innovation

Asymmetric Research erklärte, dass die Schwachstelle in ibc-go, der High-Level-Programmiersprache, die für die Implementierung von IBC seit dessen Einführung im Jahr 2021 verwendet wird, vorhanden war.

Die Schwachstelle wurde mit der Einführung einer neuen Anwendungssoftware von Drittanbietern, der sogenannten IBC-Middleware,zu einer Bedrohung .

Diese Software erweiterte die IBC-Fähigkeiten, indem sie es ermöglichte, Token, die dem ICS20-Interchain-Token-Standard entsprechen, über verschiedene Ketten hinweg zu übertragen, was unbeabsichtigt das Risiko von Angriffen erhöhte.

Dieser Vorfall unterstreicht die Fragilität der Vertrauensannahmen in Blockchain-Netzwerken und die potenziellen Risiken, die durch neue Funktionen eingeführt werden”, erklärte Asymmetric und betonte die Bedeutung gründlicher Sicherheitsmaßnahmen und die Notwendigkeit fortlaufender Forschung zur kettenübergreifenden Sicherheit, um die vernetzte Blockchain-Umgebung zu schützen.

Quelle vía → asymmetric.re

Durch die Verwendung von IBC-Hooks können CosmWasm-Vertragsaufrufe von den Acknowledgement- und Timeout-Handlern initiiert werden. Dies ermöglicht den Eintritt in CosmWasm über IBC-Haken.

Anschließend kann CosmWasm Unternachrichten erzeugen, um beliebige Cosmos-Nachrichten auszuführen, wodurch ein rekursives Aufrufszenario entsteht.

Diese Schwachstelle kann möglicherweise zu einem Multi-Spend-Szenario führen, was ein erhebliches Risiko für die Sicherheit des Cosmos-Netzwerks darstellt.

Der Ausnutzungsprozess beginnt mit dem Einsatz eines Smart Contracts, der den IBC-Haken Callback für Timeouts erfüllt. Dann werden IBC-Token mit einer abgelaufenen Zeitüberschreitung an die native Kette zurückgeschickt. Böswillige Relayers fangen die Übertragung ab und erleichtern die Vorbereitung und Ausführung von Nachrichten für einen einzigen Aufruf von CosmWasm execute().

Diese Nachrichten, wie z. B. MsgUpdateClient und MsgTimeout, werden im intelligenten Vertrag für künftige ablaufende Aufrufe gespeichert.

Nach der Ausführung umfasst der Prozess den erfolgreichen Abschluss von MsgUpdateClient- und MsgTimeout-Nachrichten. Danach wird MsgTimeout erneut durch eine weitere Subnachricht im CosmWasm-Vertragausgelöst . Diese Sequenz wiederholt sich, bis alle Mittel für einen bestimmten Token gestohlen oder die gewünschte Menge an IBC-Tokens geprägt sind.

Der Fehler wurde von Cosmos-Entwickler Carlos Rodríguez vor etwa drei Wochen behoben, wie aus einem GitHub-Commit hervorgeht. Dieser proaktive Ansatz spiegelt das Engagementvon Cosmos für die Sicherheit und die Effektivität ihrer Reaktionssysteme wider.

Dieser Vorfall war nicht das erste Mal, dass eine kritische Schwachstelle im IBC-Protokoll entdeckt wurde; ein anderes schwerwiegendes Problem wurde im Oktober 2022 identifiziert und behoben, bevor es ausgenutzt werden konnte.

Diese Vorfälle machen deutlich, dass die Sicherheit komplexer Blockchain-Ökosysteme wie Cosmos eine ständige Herausforderung darstellt und Wachsamkeit erforderlich ist.

Disclaimer: ETHNews does not endorse and is not responsible for or liable for any content, accuracy, quality, advertising, products, or other materials on this page. Readers should do their own research before taking any actions related to cryptocurrencies. ETHNews is not responsible, directly or indirectly, for any damage or loss caused or alleged to be caused by or in connection with the use of or reliance on any content, goods, or services mentioned.
Isai Alexei
Isai Alexei
As a content creator, Isai Alexei holds a degree in Marketing, providing a solid foundation for the exploration of technology and finance. Isai's journey into the crypto space began during academic years, where the transformative potential of blockchain technology was initially grasped. Intrigued, Isai delved deeper, ultimately making the inaugural cryptocurrency investment in Bitcoin. Witnessing the evolution of the crypto landscape has been both exciting and educational. Ethereum, with its smart contract capabilities, stands out as Isai's favorite, reflecting a genuine enthusiasm for cutting-edge web3 technologies. Business Email: [email protected] Phone: +49 160 92211628
RELATED ARTICLES

LATEST ARTICLES