Die Blockchain -Sicherheitsfirma Oak Security hat Bedenken hinsichtlich einer Sicherheitsanfälligkeit im Cosmos Chain Software Development Kit (SDK) ausgelöst, die zu einem DDOS -Angriff (Distributed Denial of Service) auf das Netzwerk führen könnte. In einem mittleren Beitrag erklärten zwei der Forscher des Unternehmens, Edward Kotysh und Christian Vari, warum dies ein großes Risiko ist.
Nach Angaben der Forscher liegt die Sicherheitsanfälligkeit in der Tatsache, dass die Funktionen von BeginnBlock und EndBlock nicht der Gasmessung unterliegen. Dies geschieht nach Entwurf, da Entwickler eine kostenlose Berechnungszeit haben, da diese beiden Funktionen nicht unbedingt die Benutzertransaktionen beeinflussen.
Die Sicherheitsexperten warnten jedoch, dass ein geringfügiger Spielraum für Entwickler in mehreren Arten tatsächlich erhebliche Schäden an Cosmos-basierten Netzwerken verursachen könnte. Dazu gehören das Verursachen von Netzwerken, die Beeinträchtigung von Validatoren oder sogar zu einem vollständigen Ausfall.
Sie sagten:
"Diese Freiheit kann ein zweischneidiges Schwert sein, und sie kann eine Pandora-Schachtel potenzieller Schwachstellen eröffnen. Das Hauptproblem ist, dass ohne Gasgrenzen ein schlecht optimierter oder böswilliger Code in BeginnBlock und Endblock wirklich Chaos anrichten kann."
Die Forscher testeten ihre Theorien über die möglichen Auswirkungen der Verwundbarkeit durch Durchführung von Experimenten. In einem der Experimente führten sie randomisierte Verzögerungen in die BeginnBlock -Funktion in verschiedenen Blockhöhen ein, wobei Verzögerungen zwischen fünf Sekunden und einer Minute lagen.
Aus den Experimenten bestätigten die Experten, dass die Verzögerungen zu erheblichen Überlastungen im Netzwerk führten, ihre Fortschritte verlangsamten und die für die Vervollständigung von Blöcken erforderliche Zeit erhöhen. Es betroffenen auch Validatoren, wobei einige von ihnen nicht zu den erforderlichen Zeiten und einigen fehlenden Abstimmungsphasen vollständig zu unterschreiben waren.
Es ist nicht überraschend, dass die begrenzte Anzahl von Validatoren, die für die Signaltransaktionen verfügbar sind (weniger als zwei Drittel), zur Verfügung stand, dass die Testkette vorübergehende Ausfälle auftrat. Die Forscher stellten fest, dass dies zu einem vollständigen Ausfall des Hauptnetzes selbst führen könnte, bei dem mehrere Transaktionen gleichzeitig stattfinden müssen, die abgeschlossen werden müssen.
Oak Security empfiehlt Korrekturen für Entwickler
In der Zwischenzeit haben die Sicherheitsexperten Lösungen empfohlen, um die Verwundbarkeit zu beheben, bevor ein schlechter Schauspieler sie ausnutzt. Nach Ansicht müssen strenge Berechnungsgrenzen implementiert werden, sodass selbst jeder keinen Angriffsvektor hinzufügen kann, der zu übermäßiger Berechnung führt.
Ich habe drei verschiedene Möglichkeiten zur Implementierung dieser Lösungdent. Dazu gehört das Hinzufügen von Zeitkomplexität zu den Funktionen von BeginnBlock und EndBlock, sodass sie nichtdefiausgeführt werden, Kontextverpackungen, um ressourcenintensive Operationen in gemessenen Kontexten zu halten, und die Validierung aller Eingaben an der Funktion.
Darüber hinaus forderten sie umfassendere Tests und Simulation, um festzustellen, wie die Verwundbarkeit genutzt werden kann und wie möglich ihre Auswirkungen haben.
Siedentauch architektonische Schutzmaßnahmen und operative Überwachung, um sicherzustellen, dass die Netzwerke nach Standardmetriken funktionieren und eine signifikante Abweichung erkennen.
Cosmos SDK startet eine neue Version
In der Zwischenzeit muss der Cosmos SDK den Sicherheitsbericht noch kommentieren und ob es etwas tun wird, um das Problem an ihrem Ende anzugehen. Dies könnte daran liegen, dass die Anfälligkeit von Identtatsächlich eine Designfunktion ist und keine Fehler oder Malware, wie die aktuellen Sicherheitswarnungen bei Supply -Chain -Angriffen.
Glücklicherweise können Entwickler, die das Cosmos SDK verwenden, die meisten Empfehlungen von Sicherheitsexperten implementieren, sodass sie die Kontrolle über das übernehmen können, was sie bereitstellen, und sicherzustellen, dass sie nicht anfällig für DDOS -Angriffe ist.
Interessanterweise Cosmos SDK kürzlich seine Version V0.53.0 gestartet. Laut der Ankündigung auf X ist die Version eine Reaktion auf die Schmerzpunkte, die Bauherren über die vorherige Version erzogen haben.
Die neueste Version verfügt angeblich mit ungeordneten Transaktionen, verbesserten Kapazitäten für Community -Pools, maßgeschneiderten Governance -Mechanismen, Epochen und individuellem Meilen. Es wird auch mit Fehlerbehebungen geliefert, und Entwickler können bereits auf GitHub auf sie ein Upgrade einlegen.
Cosmos SDK ist ein Tool für Entwickler, um ein eigenes individuelles Netzwerk aufzubauen und sich in die Cosmos -Blockchain zu integrieren, ein Netzwerk, das zum Internet der Blockchains wird.
Cryptopolitan Academy: Müde von Marktschwankungen? Erfahren Sie, wie DeFi Ihnen helfen kann, ein stetiges passives Einkommen aufzubauen. Registrieren Sie sich jetzt
