Une faille de sécurité dans le SDK Cosmos pourrait permettre des attaques DDoS

La société Oak Security, spécialisée dans la sécurité des blockchains, a exprimé ses inquiétudes concernant une vulnérabilité du kit de développement logiciel (SDK) de la blockchain Cosmos . Cette vulnérabilité pourrait entraîner une attaque par déni de service distribué (DDoS) sur le réseau. Dans un article publié sur Medium, deux chercheurs de la société, Edward Kotysh et Christian Vari, ont expliqué en quoi ce risque est majeur.

D'après les chercheurs, la vulnérabilité réside dans le fait que les fonctions BeginBlock et EndBlock ne sont pas soumises à la mesure du temps de calcul. Ce comportement est intentionnel, car il permet aux développeurs de disposer de temps de calcul supplémentaire, ces deux fonctions n'ayant pas d'incidence directe sur les transactions des utilisateurs.

Cependant, les experts en sécurité ont averti que cette marge de manœuvre, initialement perçue comme mineure pour les développeurs, pourrait en réalité causer des dommages importants aux réseaux basés sur Cosmos, et ce, de plusieurs manières. Ces dommages peuvent notamment entraîner une congestion du réseau, affecter les validateurs, voire provoquer une panne complète.

Ils ont dit :

« Cette liberté peut être à double tranchant et ouvrir la boîte de Pandore des vulnérabilités potentielles. Le principal problème est que, sans limites de gaz, un code mal optimisé ou malveillant dans BeginBlock et EndBlock peut causer de véritables ravages. »

Les chercheurs ont testé leurs hypothèses sur l'impact potentiel de cette vulnérabilité en menant des expériences. Dans l'une d'elles, ils ont introduit des délais aléatoires dans la fonction BeginBlock à différentes hauteurs de bloc, ces délais variant de cinq secondes à une minute.

Les expériences ont confirmé que les experts entraînaient une congestion importante du réseau, ralentissant sa progression et allongeant le temps nécessaire à la validation des blocs. Les validateurs étaient également affectés : plusieurs d’entre eux n’ont pas pu signer les blocs dans les délais impartis et certains ont même manqué des phases de vote.

Sans surprise, le nombre limité de validateurs disponibles pour signer les transactions (moins des deux tiers) a entraîné des interruptions temporaires de la chaîne de test. Les chercheurs ont souligné que cela pourrait provoquer une panne complète du réseau principal, où plusieurs transactions doivent être finalisées simultanément.

Oak Security recommande des correctifs aux développeurs

Parallèlement, les experts en sécurité ont recommandé des solutions pour corriger la vulnérabilité avant qu'un acteur malveillant ne l'exploite. Selon eux, il est nécessaire de mettre en place des limites de calcul strictes afin d'empêcher toute personne mal intentionnée d'ajouter un vecteur d'attaque susceptible d'entraîner une surcharge de calcul.

Ilsdenttrois manières différentes de mettre en œuvre cette solution. Celles-ci consistent à ajouter une complexité temporelle aux fonctions BeginBlock et EndBlock afin qu'elles ne s'exécutent pasdefi, à utiliser l'encapsulation de contexte pour limiter les opérations gourmandes en ressources à des contextes mesurés, et à valider toutes les entrées de la fonction.

De plus, ils ont demandé des tests et des simulations plus complets afin de déterminer comment la vulnérabilité pourrait être exploitée et l'impact potentiel de cette exploitation.

Ils ont égalementdentdes mesures de protection architecturales et une surveillance opérationnelle pour garantir que les réseaux fonctionnent selon des indicateurs standard et détecter tout écart significatif.

Cosmos SDK lance une nouvelle version

De son côté, le SDK Cosmos n'a pas encore commenté le rapport de sécurité ni indiqué s'il comptait prendre des mesures pour résoudre le problème. Cela pourrait s'expliquer par le fait que la vulnérabilitédentest en réalité une fonctionnalité de conception et non un bug ou un logiciel malveillant, comme l'ont montré de récentes alertes de sécurité concernant des attaques de la chaîne d'approvisionnement.

Heureusement, les développeurs utilisant le SDK Cosmos peuvent mettre en œuvre la plupart des recommandations des experts en sécurité, ce qui leur permet de contrôler ce qu'ils déploient et de s'assurer qu'il n'est pas vulnérable aux attaques DDoS.

Il est intéressant de noter que Cosmos SDK a récemment lancé sa version v0.53.0. Selon l'annonce faite sur X, cette version répond aux problèmes rencontrés par les développeurs avec la version précédente.

La dernière version propose des transactions non ordonnées, des capacités accrues pour les pools communautaires, des mécanismes de gouvernance personnalisés, des époques et une création de jetons personnalisée. Elle inclut également des corrections de bugs et les développeurs peuvent d'ores et déjà l'installer sur GitHub.

Cosmos SDK est un outil permettant aux développeurs de créer facilement leur propre réseau personnalisé et de l'intégrer à la blockchain Cosmos , un réseau qui ambitionne de devenir l'Internet des blockchains.