Schwachstelle im Cosmos IBC-Protokoll behoben, wodurch ein potenzieller Verlust von 126 Millionen US-Dollar abgewendet werden kann

Die Entwickler von Cosmos haben eine kritische Sicherheitslücke in ihrem IBC-Protokoll (Inter-Blockchain Communication) behoben und so mindestens 126 Millionen US-Dollar vor potenziellem Diebstahl geschützt. Asymmetric Research, ein Blockchain-Sicherheitsunternehmen, entdeckte die Schwachstelle und benachrichtigte Cosmos über das HackerOne Bug Bounty-Programm. Der seit der Einführung von IBC im Jahr 2021 bestehende Fehler ermöglichte eine unbegrenzte Token-Prägung auf mit IBC verbundenen Ketten. Die für Osmosis, ein beliebtes, mit IBC verbundenes dezentrales Finanzökosystem, eingeführte Zinsbegrenzung konnte den potenziellen Schaden jedoch abmildern. Cosmos hat das Problem innerhalb von drei Wochen behoben und damit die Bedeutung einer tiefgreifenden Verteidigung und fortlaufender Sicherheitsforschung im Multichain-Ökosystem unter Beweis gestellt.

Cosmos IBC Protocol Bug Patched, Preventing Potential $126 Million Loss

Fehler im Cosmos IBC-Protokoll behoben, wodurch ein potenzieller Verlust von 126 Millionen US-Dollar verhindert wird

A critical security vulnerability in the Inter-Blockchain Communication (IBC) protocol of the Cosmos blockchain platform has been addressed, mitigating a potential loss of up to $126 million. The issue was privately reported to Cosmos by blockchain security firm Asymmetric Research, which played a pivotal role in safeguarding the network.

Eine kritische Sicherheitslücke im Inter-Blockchain-Communication-Protokoll (IBC) der Cosmos-Blockchain-Plattform wurde behoben, wodurch ein potenzieller Verlust von bis zu 126 Millionen US-Dollar gemindert werden konnte. Das Problem wurde Cosmos privat von der Blockchain-Sicherheitsfirma Asymmetric Research gemeldet, die eine entscheidende Rolle beim Schutz des Netzwerks spielte.

In a statement released on April 23, Asymmetric Research confirmed the vulnerability's existence and its subsequent resolution: "We privately disclosed the vulnerability through the Cosmos HackerOne Bug Bounty program and the issue is now patched."

In einer am 23. April veröffentlichten Erklärung bestätigte Asymmetric Research die Existenz der Schwachstelle und ihre anschließende Behebung: „Wir haben die Schwachstelle privat über das Cosmos HackerOne Bug Bounty-Programm offengelegt und das Problem ist jetzt behoben.“

According to Asymmetric Research, the bug allowed for a reentrancy attack, potentially enabling malicious actors to mint an infinite number of tokens on IBC-connected chains, such as Osmosis and other decentralized finance (DeFi) platforms built on Cosmos. "We believe at least 126M+ in assets could have been stolen on Osmosis," the firm stated.

Laut Asymmetric Research ermöglichte der Fehler einen Wiedereintrittsangriff, der es böswilligen Akteuren möglicherweise ermöglichte, eine unendliche Anzahl von Token auf IBC-verbundenen Ketten wie Osmosis und anderen auf Cosmos basierenden dezentralen Finanzplattformen (DeFi) zu prägen. „Wir gehen davon aus, dass bei Osmosis Vermögenswerte im Wert von mindestens 126 Mio. gestohlen worden sein könnten“, erklärte das Unternehmen.

However, Asymmetric Research emphasized that due to rate limiting mechanisms in place on Osmosis, the damage that could have been caused was mitigated. Rate limits are employed to control the rate at which requests are made, preventing or minimizing the impact of attacks that attempt to overwhelm a system.

Asymmetric Research betonte jedoch, dass der Schaden, der hätte verursacht werden können, aufgrund der bei Osmose vorhandenen geschwindigkeitsbegrenzenden Mechanismen gemildert wurde. Ratenbegrenzungen werden eingesetzt, um die Rate zu steuern, mit der Anfragen gestellt werden, und um die Auswirkungen von Angriffen, die versuchen, ein System zu überfordern, zu verhindern oder zu minimieren.

The vulnerability had persisted in the ibc-go implementation of IBC since its launch in 2021. It became exploitable only recently, following the introduction of a new third-party application known as IBC middleware, which facilitates the transfer of ICS20 (interchain token standard) tokens across different chains.

Die Schwachstelle bestand seit ihrer Einführung im Jahr 2021 in der ibc-go-Implementierung von IBC fort. Sie wurde erst kürzlich ausnutzbar, nachdem eine neue Drittanbieteranwendung namens IBC-Middleware eingeführt wurde, die die Übertragung von ICS20 (Interchain-Token-Standard) erleichtert. Token über verschiedene Ketten hinweg.

Asymmetric Research underscored the critical need for ongoing research into cross-chain security risks to enhance the protection of the multichain ecosystem: "This issue demonstrates how easy it is to break trust assumptions and introduce new vulnerabilities by adding new features and functionality. It is also another example of the importance of defense-in-depth."

Asymmetric Research unterstrich die dringende Notwendigkeit einer kontinuierlichen Erforschung kettenübergreifender Sicherheitsrisiken, um den Schutz des Multichain-Ökosystems zu verbessern: „Diese Ausgabe zeigt, wie einfach es ist, Vertrauensannahmen zu brechen und neue Schwachstellen einzuführen, indem neue Features und Funktionen hinzugefügt werden.“ Das ist auch der Fall ein weiteres Beispiel für die Bedeutung der Tiefenverteidigung.“

The bug was resolved approximately three weeks ago by Cosmos developer Carlos Rodriguez, as indicated by a GitHub commit. This incident marks the second "critical" security vulnerability identified in the IBC protocol within the past year, further highlighting the importance of vigilance in blockchain security.

Der Fehler wurde vor etwa drei Wochen vom Cosmos-Entwickler Carlos Rodriguez behoben, wie aus einem GitHub-Commit hervorgeht. Dieser Vorfall stellt die zweite „kritische“ Sicherheitslücke dar, die im vergangenen Jahr im IBC-Protokoll identifiziert wurde, was die Bedeutung von Wachsamkeit bei der Blockchain-Sicherheit weiter unterstreicht.