Los mejores análisis sobre criptomonedas directamente en tu bandeja de entrada.
Una falla de seguridad en el SDK Cosmos podría permitir ataques DDoS
- Oak Securitydentuna vulnerabilidad en Cosmos SDK que los actores maliciosos pueden explotar para realizar ataques distribuidos de denegación de servicio.
- Los investigadores observaron que la vulnerabilidad es una característica y recomendaron soluciones que los desarrolladores pueden implementar para abordar el problema.
- Cosmos SDK ha lanzado una nueva versión con características y actualizaciones que abordan las preocupaciones de los desarrolladores.
La firma de seguridad blockchain Oak Security ha expresado su preocupación por una vulnerabilidad en el kit de desarrollo de software (SDK) de Cosmos Chain que podría provocar un ataque de denegación de servicio distribuido (DDoS) en la red. En una publicación en Medium, dos investigadores de la firma, Edward Kotysh y Christian Vari, explicaron por qué esto representa un riesgo importante.
Según los investigadores, la vulnerabilidad radica en que las funciones BeginBlock y EndBlock no están sujetas a la medición de gas. Esto es intencional, ya que permite a los desarrolladores disponer de tiempo de cálculo gratuito, ya que estas dos funciones no necesariamente afectan las transacciones de los usuarios.
Sin embargo, los expertos en seguridad advirtieron que lo que se suponía sería un pequeño margen de maniobra para los desarrolladores podría, en realidad, causar daños significativos a las redes basadas en Cosmosde diversas maneras. Entre ellas, se incluyen la congestión de la red, la afectación de los validadores o incluso una interrupción total del servicio.
Ellos han dicho:
Esta libertad puede ser un arma de doble filo y abrir una caja de Pandora de posibles vulnerabilidades. El problema principal es que, sin límites de gas, el código mal optimizado o malicioso en BeginBlock y EndBlock puede causar estragos
Los investigadores probaron sus teorías sobre el impacto potencial de la vulnerabilidad mediante experimentos. En uno de ellos, introdujeron retrasos aleatorios en la función BeginBlock a distintas alturas de bloque, con retrasos que oscilaban entre cinco segundos y un minuto.
A partir de los experimentos, los expertos confirmaron que los retrasos provocaron una congestión considerable en la red, ralentizando su progreso y aumentando el tiempo necesario para completar los bloques. Esto también afectó a los validadores, ya que varios de ellos no firmaron los bloques a tiempo y algunos se saltaron por completo las fases de votación.
Como era de esperar, el número limitado de validadores disponibles para firmar transacciones (menos de dos tercios) provocó interrupciones temporales en la cadena de pruebas. Los investigadores observaron que esto podría provocar una interrupción completa en la red principal, donde se realizan varias transacciones simultáneamente que deben finalizarse.
Oak Security recomienda correcciones para desarrolladores
Mientras tanto, los expertos en seguridad han recomendado soluciones para corregir la vulnerabilidad antes de que un atacante la explote. Según ellos, es necesario implementar límites de cómputo estrictos para que nadie pueda añadir un vector de ataque que cause un cómputo excesivo.
Sedenttres maneras diferentes de implementar esta solución. Estas incluyen añadir complejidad temporal a las funciones BeginBlock y EndBlock para que no se ejecuten de formadefi, el encapsulamiento de contexto para mantener las operaciones que consumen muchos recursos en contextos medidos, y la validación de todas las entradas de la función.
Además, pidieron que se realicen pruebas y simulaciones más exhaustivas para determinar cómo se podría explotar la vulnerabilidad y el potencial de su impacto.
Tambiéndentsalvaguardas arquitectónicas y monitoreo operativo para garantizar que las redes funcionen según métricas estándar y detecten cualquier desviación significativa.
Cosmos SDK lanza una nueva versión
Mientras tanto, el SDK Cosmos aún no ha comentado sobre el informe de seguridad ni si tomará alguna medida para solucionar el problema. Esto podría deberse a que la vulnerabilidaddentes en realidad una característica de diseño y no un error ni malware, como las recientes alertas de seguridad sobre ataques a la cadena de suministro.
Afortunadamente, los desarrolladores que utilizan el SDK Cosmos pueden implementar la mayoría de las recomendaciones de los expertos en seguridad, lo que les permite tomar el control de lo que implementan y garantizar que no sea vulnerable a ataques DDoS.
Curiosamente, Cosmos el SDK lanzó recientemente su versión v0.53.0. Según el anuncio en X, esta versión responde a las dificultades que los desarrolladores plantearon sobre la versión anterior.
Según se informa, la última versión incluye transacciones desordenadas, capacidades mejoradas para grupos comunitarios, mecanismos de gobernanza personalizados, épocas y acuñación personalizada. También incluye correcciones de errores, y los desarrolladores ya pueden actualizarla en GitHub.
Cosmos SDK es una herramienta para que los desarrolladores construyan fácilmente su propia red personalizada y la integren con la cadena de bloques Cosmos , una red que busca convertirse en la Internet de las cadenas de bloques.
Las mentes más brillantes del mundo de las criptomonedas ya leen nuestro boletín. ¿Te apuntas? ¡ Únete!
Aviso legal. La información proporcionada no constituye asesoramiento comercial. Cryptopolitanconsultar no se responsabiliza de las inversiones realizadas con base en la información proporcionada en esta página. Recomendamostronencarecidamente realizar una investigación independientedent un profesional cualificado antes de tomar cualquier decisión de inversión.
CURSO
- ¿Qué criptomonedas pueden hacerte ganar dinero?
- Cómo mejorar tu seguridad con una billetera (y cuáles realmente vale la pena usar)
- Estrategias de inversión poco conocidas que utilizan los profesionales
- Cómo empezar a invertir en criptomonedas (qué plataformas de intercambio usar, las mejores criptomonedas para comprar, etc.)