Gli sviluppatori di Cosmos hanno corretto un bug di sicurezza "critico" nel protocollo Inter-Blockchain Communication (IBC) che metteva a rischio almeno 126 milioni di dollari, ha dichiarato una società di sicurezza blockchain che ha notificato privatamente il problema a Cosmos.
"Abbiamo divulgato privatamente la vulnerabilità attraverso il programma Cosmos HackerOne Bug Bounty e ora il problema è stato risolto", ha dichiarato Asymmetric Research il 23 Aprile.
"Non c'è stato alcun exploit malevolo e non sono stati persi fondi", ha aggiunto.
Il bug avrebbe consentito un attacco di rientranza, permettendo a un hacker di mintare token infiniti su chain collegate a IBC come Osmosis e altri ecosistemi di finanza decentralizzata su Cosmos.
"Riteniamo che poteveno essere rubati almeno 126 milioni in asset su Osmosis. Tuttavia, i limiti di velocità su Osmosis rallentano i danni che potrebbero essere causati".
I limiti di velocità servono a prevenire o almeno a mitigare gli attacchi che tentano di sopraffare un sistema controllando la velocità con cui vengono effettuate le richieste.
Asymmetric ha osservato che il bug esisteva in ibc-go, un'implementazione del linguaggio di programmazione di alto livello di IBC, da quando è stato lanciato nel 2021.
Tuttavia, il bug è diventato sfruttabile solo di recente, quando gli sviluppatori di Cosmos hanno lanciato una nuova applicazione di terze parti chiamata IBC middleware, che consente ai token dello standard ICS20 interchain di passare da una chain all'altra.
Correlato: Cosmos Hub approva il taglio dell'inflazione di ATOM
"Questo problema dimostra quanto sia facile infrangere i presupposti di fiducia e introdurre nuove vulnerabilità con l'aggiunta di nuove caratteristiche e funzionalità. È anche un altro esempio dell'importanza della difesa approfondita", ha sottolineato Asymmetric.
"Questa vulnerabilità mette in evidenza la necessità cruciale di maggiori ricerche sui rischi di sicurezza cross-chain per proteggere meglio l'ecosistema multichain".
Il bug è stato corretto da Carlos Rodríguez, sviluppatore di Cosmos, circa tre settimane fa, come dimostra il commit su GitHub.
A Ottobre 2022 è stata identificata un'altra vulnerabilità di sicurezza "critica" nel protocollo IBC, che ha avuto un impatto su tutte le chain collegate a IBC, ma che è stata patchata prima di qualsiasi potenziale exploit.