Sicherheitslücke im Cosmos SDK könnte DDoS-Angriffe ermöglichen

Das Blockchain-Sicherheitsunternehmen Oak Security hat Bedenken hinsichtlich einer Schwachstelle im Software Development Kit (SDK) der Cosmos Chain geäußert, die zu einem DDoS-Angriff (Distributed Denial of Service) auf das Netzwerk führen könnte. In einem Medium-Beitrag erläuterten zwei Forscher des Unternehmens, Edward Kotysh und Christian Vari, warum dies ein erhebliches Risiko darstellt.

zufolge Forschernliegt die Schwachstelle darin, dass die Funktionen BeginBlock und EndBlock nicht der Gasmessung unterliegen. Dies ist beabsichtigt, da Entwickler dadurch freie Rechenzeit haben, da diese beiden Funktionen die Transaktionen der Nutzer nicht zwangsläufig beeinflussen.

Die Sicherheitsexperten warnten jedoch, dass die eigentlich nur geringfügige Spielraumerweiterung für Entwickler Cosmosbasierte Netzwerke auf verschiedene Weise erheblich schädigen könnte. Dazu gehören Netzwerküberlastungen, Beeinträchtigungen der Validatoren oder sogar ein vollständiger Ausfall.

Sie sagten:

„Diese Freiheit kann ein zweischneidiges Schwert sein und eine ganze Reihe potenzieller Sicherheitslücken öffnen. Das Hauptproblem besteht darin, dass schlecht optimierter oder bösartiger Code in BeginBlock und EndBlock ohne Gaslimits wirklich verheerenden Schaden anrichten kann.“

Die Forscher testeten ihre Theorien zu den potenziellen Auswirkungen der Sicherheitslücke anhand von Experimenten. In einem dieser Experimente führten sie zufällige Verzögerungen in die Funktion „BeginBlock“ bei verschiedenen Blockhöhen ein, wobei die Verzögerungen zwischen fünf Sekunden und einer Minute lagen.

Die Experten bestätigten anhand der Experimente, dass die Verzögerungen zu erheblichen Netzwerküberlastungen führten, den Fortschritt verlangsamten und die Zeit für die Blockverarbeitung verlängerten. Auch die Validatoren waren betroffen: Einige konnten Blöcke nicht fristgerecht signieren, andere verpassten Abstimmungsphasen vollständig.

Es überrascht nicht, dass die geringe Anzahl an Validatoren (weniger als zwei Drittel), die Transaktionen signieren konnten, zu vorübergehenden Ausfällen der Testkette führte. Die Forscher wiesen darauf hin, dass dies zu einem vollständigen Ausfall des Hauptnetzes führen könnte, da dort mehrere Transaktionen gleichzeitig abgewickelt werden müssen.

Oak Security empfiehlt Entwicklern Korrekturen

Die Sicherheitsexperten haben inzwischen Lösungen empfohlen, um die Schwachstelle zu beheben, bevor sie von Angreifern ausgenutzt wird. Ihnen zufolge ist es notwendig, strenge Rechengrenzen zu implementieren, damit niemand einfach beliebige Angriffsvektoren hinzufügen kann, die zu übermäßiger Rechenleistung führen.

Siedentdrei verschiedene Möglichkeiten zur Implementierung dieser Lösung. Dazu gehören das Hinzufügen einer Zeitkomplexität zu den Funktionen BeginBlock und EndBlock, damit diese nichtdefilange laufen, das Kontext-Wrapping, um ressourcenintensive Operationen in abgestuften Kontexten auszuführen, und die Validierung aller Eingaben der Funktion.

Darüber hinaus forderten sie umfassendere Tests und Simulationen, um festzustellen, wie die Sicherheitslücke ausgenutzt werden könnte und welches Potenzial in ihren Auswirkungen steckt.

Siedentaußerdem architektonische Sicherheitsvorkehrungen und ein operatives Überwachungssystem, um sicherzustellen, dass die Netzwerke nach Standardmetriken funktionieren und signifikante Abweichungen erkannt werden.

Cosmos SDK veröffentlicht neue Version

Das Cosmos SDK hat sich bisher nicht zu dem Sicherheitsbericht geäußert und auch noch nicht dazu, ob es Maßnahmen zur Behebung des Problems ergreifen wird. Dies könnte daran liegen, dass diedentSchwachstelle tatsächlich ein beabsichtigtes Designmerkmal und kein Fehler oder Schadsoftware ist, wie es bei den jüngsten Sicherheitswarnungen zu Lieferkettenangriffen der Fall war.

Glücklicherweise können Entwickler, die das Cosmos SDK verwenden, die meisten Empfehlungen von Sicherheitsexperten umsetzen, sodass sie die Kontrolle über ihre Bereitstellung behalten und sicherstellen können, dass diese nicht anfällig für DDoS-Angriffe ist.

Interessanterweise Cosmos SDK kürzlich seine Version v0.53.0 veröffentlicht. Laut der Ankündigung auf X ist diese Version eine Reaktion auf die von Entwicklern angesprochenen Probleme mit der vorherigen Version.

Die neueste Version bietet Berichten zufolge ungeordnete Transaktionen, verbesserte Kapazitäten für Community-Pools, benutzerdefinierte Governance-Mechanismen, Epochen und benutzerdefiniertes Minting. Außerdem enthält sie Fehlerbehebungen und kann bereits auf GitHub aktualisiert werden.

Cosmos SDK ist ein Werkzeug für Entwickler, um auf einfache Weise ihr eigenes, individuell angepasstes Netzwerk zu erstellen und es in die Cosmos -Blockchain zu integrieren – ein Netzwerk, das sich zum Internet der Blockchains entwickeln will.