上个月,主打跨链协议的区块链项目 Cosmos 被发现存在严重安全漏洞。为此,该项目背后的开发团队 Tendermint 于 6 月 17 日发布公告披露漏洞的调查细节。
公告提到,团队在获悉漏洞报告的几小时内,鉴别分类小组(triage team)创建了一个调查工具以检测相关漏洞,最终在接获漏洞报告的首 24 小时内,调查工具总共侦测到大约 22 起成功逃过惩罚机制的交易,然而在随后的进一步检测中,发现这些数据中包含了多个误报,主要是该工具广泛的搜索逻辑所致。
在正常情况下, Cosmos 验证者(validators)若涉及随意投票、签署虚假交易等任何不端行为,其所持有的 ATOM 代币就会被削减以示惩罚,这些代币还须等待 21 天才能被赎回。
根据 Tendermint 的说法,虽然漏洞不能被用来生成新的 ATOM 代币,也不能被用来窃取其他人的 ATOM 代币,但允许验证者能绕过 21 天的约束期,并私自解冻遭锁仓的代币。
实际上,此漏洞是在 Cosmos 软件开发工具套件(SDK)的权益分配模块(Staking Modules)中被寻获。据悉,Cosmos SDK 最初是在 2018 年首次亮相,团队希望提供一个最先进的区块链工具包,作为安全、轻松构建区块链的另一种方式。
Tendermint 安全负责人 Jessy Irwin 在接受外媒访问时表示,这次算是首个影响到 Cosmos 主网络的漏洞,但针对漏洞处理不是第一次,Irwin 解释指,“我们已经完成了 7 次安全审核,提出过多个网络问题、同时还有一个非常活跃的漏洞赏金计划。过去一年半以来,我们投入了大量资金,只为创建一个积极通报漏洞的环境。”
事实上,在针对这次漏洞的技术修复工作时,鉴别分类小组已启动了漏洞通知内部流程,即在处理高级和严重级别的漏洞时,官方会在公开发布公共咨询之前 24 小时提供一个安全漏洞的预先通知,即主动与项目、验证者社区以及将受到该问题影响的交易所取得联系,让他们知道已经报告了一个关键问题,并将在接下来的 24 小时内,为补丁和协调计划做准备。
目前,该漏洞已第一时间在 Cosmos 网络上被修复,官方当下已向 Cosmos 验证者要求执行紧急硬分叉或系统升级,并成功于 5 月 31 日在第 482,100 区块激活。Irwin 强调,紧急修补漏洞并非易事,为了使这个硬分叉能够成功执行,同时避免导致网络分裂,团队需要同时间将紧急通知传送给所有 Cosmos 验证者,以及其他服务供应商。
公告中亦提到,“ 虽然我们能够成功协作解决了 Cosmos 主网上的第一个安全漏洞,但我们会不断努力改进流程,以便我们在未来可以更好地协调漏洞披露。鉴别分类小组也确定了数个领域,期望可透过社区协作在这些领域上改善未来的协调。”
Irwin 在谈及 Cosmos 的未来展望时提到,从这次安全漏洞和升级过程中,学到的其中一堂课是:“与 Cosmos 验证者和其他服务提供商需建立一个安全通信渠道,我们看见了这方面的一个巨大需求。”Irwin 强调,“我们真的会倡导我们的验证者和交易者来建立他们自己的安全通信渠道…… 我们正在努力与我们的验证者群建立这样的一个通信渠道,这样我们在未来遇到状况时,就不用跑来跑去和争抢信息以便与他们保持联系。”
区块客致力于发掘和整理各种与区块链技术有关的内容,只要与区块链或区块客网站有关的合作和/或建议,我们都非常欢迎。请您发电邮至 [email protected] 与我们联系。
