Уязвимость в безопасности Cosmos SDK может позволить проводить DDoS-атаки

Компания Oak Security, специализирующаяся на безопасности блокчейна, выразила обеспокоенность по поводу уязвимости в комплекте разработки программного обеспечения (SDK) Cosmos Chain, которая может привести к распределенной атаке типа «отказ в обслуживании» (DDoS) на сеть. В публикации на Medium два исследователя компании, Эдвард Котыш и Кристиан Вари, объяснили, почему это представляет собой серьезный риск.

По мнению исследователей ,уязвимость заключается в том, что функции BeginBlock и EndBlock не подлежат учету трафика. Это сделано намеренно, поскольку позволяет разработчикам сэкономить вычислительное время, так как эти две функции не обязательно влияют на транзакции пользователей.

Однако эксперты по безопасности предупредили, что то, что должно было стать незначительной поблажкой для разработчиков, на самом деле может нанести значительный ущерб сетям на базе Cosmosнесколькими способами. К ним относятся перегрузка сети, влияние на валидаторы или даже полный сбой в работе.

Они сказали:

«Эта свобода может быть палкой о двух концах и открыть ящик Пандоры с потенциальными уязвимостями. Главная проблема в том, что без ограничений на количество газа плохо оптимизированный или вредоносный код в BeginBlock и EndBlock может действительно нанести серьезный ущерб»

Исследователи проверили свои теории о потенциальном влиянии уязвимости, проведя эксперименты. В одном из экспериментов они ввели случайные задержки в функцию BeginBlock на разных высотах блоков, с задержками от пяти секунд до одной минуты.

В ходе экспериментов эксперты подтвердили, что задержки привели к существенной перегрузке сети, замедлили ее работу и увеличили время, необходимое для завершения блоков. Это также повлияло на валидаторов: некоторые из них не смогли подписать блоки в требуемое время, а некоторые полностью пропустили этапы голосования.

Как и ожидалось, ограниченное количество валидаторов, доступных для подписания транзакций (менее двух третей), привело к временным сбоям в тестовой сети. Исследователи отметили, что это может привести к полному отключению основной сети, где одновременно происходит несколько транзакций, требующих завершения.

Компания Oak Security рекомендует разработчикам внести необходимые исправления

Между тем, эксперты по безопасности рекомендовали решения для устранения уязвимости до того, как ею воспользуется злоумышленник. По их словам, необходимо ввести строгие ограничения на вычислительные ресурсы, чтобы никто не мог просто добавить любой вектор атаки, который приведет к чрезмерным вычислениям.

Ониdentтри различных способа реализации этого решения. К ним относятся: увеличение временной сложности функций BeginBlock и EndBlock, чтобы они не выполнялисьdefi, обертывание контекста для сохранения ресурсоемких операций в контекстах с ограничением времени выполнения, а также проверка всех входных данных функции.

Кроме того, они призвали к проведению более всестороннего тестирования и моделирования, чтобы определить, как можно использовать эту уязвимость и каковы потенциальные последствия её применения.

Они такжеdentархитектурные меры защиты и механизмы оперативного мониторинга для обеспечения работы сетей в соответствии со стандартными показателями и выявления любых существенных отклонений.

Выпущена новая версия Cosmos SDK

Между тем, разработчики Cosmos SDK пока не прокомментировали сообщение о безопасности и не заявили, будут ли они предпринимать какие-либо действия для решения проблемы со своей стороны. Возможно, это связано с тем, чтоdentуязвимость на самом деле является особенностью конструкции, а не ошибкой или вредоносным ПО, как в случае недавних предупреждений о безопасности, связанных с атаками на цепочки поставок.

К счастью, разработчики, использующие Cosmos SDK, могут реализовать большинство рекомендаций экспертов по безопасности, что позволяет им контролировать развертываемые приложения и гарантировать их защиту от DDoS-атак.

Интересно, что Cosmos SDK недавно выпустил свою версию v0.53.0. Согласно объявлению на X, эта версия является ответом на проблемы, на которые указывали разработчики в предыдущей версии.

По имеющимся данным, последняя версия включает в себя неупорядоченные транзакции, улучшенные возможности для пулов сообщества, настраиваемые механизмы управления, эпохи и настраиваемое создание токенов. Она также содержит исправления ошибок, и разработчики уже могут обновиться до неё на GitHub.

Cosmos SDK — это инструмент, позволяющий разработчикам легко создавать собственные сети и интегрироваться с блокчейном Cosmos , который стремится стать «Интернетом блокчейнов».