La blockchain Cosmos se défend contre les failles de sécurité critiques, empêchant le vol de 126 millions de dollars

Le protocole Inter-Blockchain Communication (IBC) de Cosmos blockchain était confronté à une faille de sécurité, exposant 126 millions de dollars d'actifs à des risques. La vulnérabilité, détectée par Assymetric Research, aurait pu entraîner une attaque de réentrée, permettant aux pirates de générer une infinité de jetons sur des blockchains connectées à IBC comme Osmosis. Malgré la faille existant depuis le lancement d'ibc-go en 2021, elle n'a été découverte qu'après la mise en œuvre du nouveau middleware IBC. Le développeur de Cosmos, Carlos Rodriguez, a depuis corrigé le bug, soulignant les défis et l'importance de la sécurité dans les technologies inter-chaînes.

Cosmos Blockchain Addresses Critical Security Vulnerabilities, Preventing Potential Loss of $126 Million

Cosmos Blockchain corrige des vulnérabilités de sécurité critiques, évitant ainsi une perte potentielle de 126 millions de dollars

In a report issued by blockchain security firm Assymetric Research, it was revealed that a severe security flaw within the Inter-Blockchain Communication (IBC) protocol of the Cosmos blockchain has been successfully remediated. The vulnerability, had it been exploited, could have led to the theft of digital assets worth approximately $126 million.

Dans un rapport publié par la société de sécurité blockchain Assymetric Research, il a été révélé qu'une grave faille de sécurité au sein du protocole Inter-Blockchain Communication (IBC) de la blockchain Cosmos a été corrigée avec succès. La vulnérabilité, si elle avait été exploitée, aurait pu conduire au vol d'actifs numériques d'une valeur d'environ 126 millions de dollars.

The flaw, which was confidentially reported through the Cosmos HackerOne Bug Bounty program, was deemed capable of facilitating a "re-entrancy attack." Such an attack would have allowed an attacker to generate an infinite number of tokens on blockchains connected via the IBC protocol, including Osmosis and other decentralized financial ecosystems within the Cosmos network.

La faille, qui a été signalée confidentiellement via le programme Cosmos HackerOne Bug Bounty, a été jugée capable de faciliter une « attaque de réentrée ». Une telle attaque aurait permis à un attaquant de générer un nombre infini de tokens sur des blockchains connectées via le protocole IBC, dont Osmosis et d’autres écosystèmes financiers décentralisés au sein du réseau Cosmos.

"Our analysis suggests that at least $126 million in assets could have been stolen from Osmosis, but the implemented rate limits likely prevented a more severe loss," stated Assymetric Research. Rate limits are technical safeguards designed to limit the volume of requests that can be processed within a specific time frame, thus mitigating the potential harm caused by cyberattacks.

"Notre analyse suggère qu'au moins 126 millions de dollars d'actifs auraient pu être volés à Osmosis, mais les limites de taux mises en place ont probablement évité une perte plus grave", a déclaré Assymetric Research. Les limites de débit sont des garanties techniques conçues pour limiter le volume de demandes pouvant être traitées dans un délai précis, atténuant ainsi les dommages potentiels causés par les cyberattaques.

The report further disclosed that the vulnerability had been present since the inception of ibc-go, the programming language implementation of IBC, in 2021. The issue remained undetected until the recent deployment of IBC middleware, a software component that facilitates the transfer of ICS20 (interchain) tokens across disparate blockchains.

Le rapport révèle en outre que la vulnérabilité était présente depuis la création d'ibc-go, l'implémentation du langage de programmation d'IBC, en 2021. Le problème est resté non détecté jusqu'au récent déploiement du middleware IBC, un composant logiciel qui facilite le transfert d'ICS20 ( interchain) des jetons sur des blockchains disparates.

"This incident underscores the susceptibility of security assumptions to violation and the introduction of novel vulnerabilities as new functionalities are incorporated," emphasized ADSL, another security organization. "It also underscores the necessity of comprehensive defense mechanisms and increased research on the security implications of cross-chain technologies."

"Cet incident souligne la susceptibilité des hypothèses de sécurité à la violation et à l'introduction de nouvelles vulnérabilités à mesure que de nouvelles fonctionnalités sont incorporées", a souligné ADSL, une autre organisation de sécurité. "Cela souligne également la nécessité de mécanismes de défense complets et d'une recherche accrue sur les implications en matière de sécurité des technologies inter-chaînes."

The vulnerability was successfully resolved approximately three weeks ago by Cosmos developer Carlos Rodriguez, as evidenced by a GitHub commit. Notably, a previous "critical" security issue affecting the same IBC protocol was detected in October 2022 but was promptly patched before any exploitation could occur.

La vulnérabilité a été résolue avec succès il y a environ trois semaines par le développeur de Cosmos, Carlos Rodriguez, comme en témoigne un commit GitHub. Notamment, un précédent problème de sécurité « critique » affectant le même protocole IBC a été détecté en octobre 2022 mais a été rapidement corrigé avant toute exploitation.