Correction d'une vulnérabilité du protocole Cosmos IBC, évitant ainsi une perte potentielle de 126 millions de dollars

Les développeurs de Cosmos ont résolu une faille de sécurité critique dans leur protocole Inter-Blockchain Communication (IBC), protégeant ainsi au moins 126 millions de dollars contre un vol potentiel. Ametric Research, une société de sécurité blockchain, a découvert la vulnérabilité et en a informé Cosmos via le programme HackerOne Bug Bounty. Le bug, présent depuis le lancement d'IBC en 2021, permettait la frappe infinie de jetons sur les chaînes connectées à IBC. Cependant, les limites de taux mises en œuvre sur Osmosis, un écosystème financier décentralisé populaire connecté à IBC, ont atténué les dommages potentiels. Cosmos a résolu le problème en trois semaines, démontrant l’importance d’une défense en profondeur et d’une recherche continue sur la sécurité dans l’écosystème multichaîne.

Cosmos IBC Protocol Bug Patched, Preventing Potential $126 Million Loss

Correction d'un bug du protocole Cosmos IBC, empêchant une perte potentielle de 126 millions de dollars

A critical security vulnerability in the Inter-Blockchain Communication (IBC) protocol of the Cosmos blockchain platform has been addressed, mitigating a potential loss of up to $126 million. The issue was privately reported to Cosmos by blockchain security firm Asymmetric Research, which played a pivotal role in safeguarding the network.

Une vulnérabilité de sécurité critique dans le protocole Inter-Blockchain Communication (IBC) de la plate-forme blockchain Cosmos a été corrigée, atténuant une perte potentielle pouvant atteindre 126 millions de dollars. Le problème a été signalé en privé à Cosmos par la société de sécurité blockchain Ametric Research, qui a joué un rôle central dans la protection du réseau.

In a statement released on April 23, Asymmetric Research confirmed the vulnerability's existence and its subsequent resolution: "We privately disclosed the vulnerability through the Cosmos HackerOne Bug Bounty program and the issue is now patched."

Dans une déclaration publiée le 23 avril, Aometric Research a confirmé l'existence de la vulnérabilité et sa résolution ultérieure : « Nous avons divulgué la vulnérabilité en privé via le programme Cosmos HackerOne Bug Bounty et le problème est désormais corrigé. »

According to Asymmetric Research, the bug allowed for a reentrancy attack, potentially enabling malicious actors to mint an infinite number of tokens on IBC-connected chains, such as Osmosis and other decentralized finance (DeFi) platforms built on Cosmos. "We believe at least 126M+ in assets could have been stolen on Osmosis," the firm stated.

Selon Ametric Research, le bug a permis une attaque de réentrée, permettant potentiellement à des acteurs malveillants de créer un nombre infini de jetons sur des chaînes connectées à IBC, telles que Osmosis et d'autres plateformes de finance décentralisée (DeFi) construites sur Cosmos. "Nous pensons qu'au moins plus de 126 millions d'actifs auraient pu être volés sur Osmosis", a déclaré la société.

However, Asymmetric Research emphasized that due to rate limiting mechanisms in place on Osmosis, the damage that could have been caused was mitigated. Rate limits are employed to control the rate at which requests are made, preventing or minimizing the impact of attacks that attempt to overwhelm a system.

Cependant, Ametric Research a souligné qu'en raison des mécanismes de limitation du débit en place sur l'osmose, les dommages qui auraient pu être causés ont été atténués. Les limites de débit sont utilisées pour contrôler la vitesse à laquelle les requêtes sont effectuées, empêchant ou minimisant l'impact des attaques qui tentent de submerger un système.

The vulnerability had persisted in the ibc-go implementation of IBC since its launch in 2021. It became exploitable only recently, following the introduction of a new third-party application known as IBC middleware, which facilitates the transfer of ICS20 (interchain token standard) tokens across different chains.

La vulnérabilité persistait dans l'implémentation ibc-go d'IBC depuis son lancement en 2021. Elle n'est devenue exploitable que récemment, suite à l'introduction d'une nouvelle application tierce connue sous le nom de middleware IBC, qui facilite le transfert d'ICS20 (standard de jeton interchaîne). jetons sur différentes chaînes.

Asymmetric Research underscored the critical need for ongoing research into cross-chain security risks to enhance the protection of the multichain ecosystem: "This issue demonstrates how easy it is to break trust assumptions and introduce new vulnerabilities by adding new features and functionality. It is also another example of the importance of defense-in-depth."

Ametric Research a souligné la nécessité cruciale de poursuivre la recherche sur les risques de sécurité inter-chaînes afin d'améliorer la protection de l'écosystème multichaîne : « Ce problème démontre à quel point il est facile de briser les hypothèses de confiance et d'introduire de nouvelles vulnérabilités en ajoutant de nouvelles caractéristiques et fonctionnalités. un autre exemple de l’importance de la défense en profondeur. »

The bug was resolved approximately three weeks ago by Cosmos developer Carlos Rodriguez, as indicated by a GitHub commit. This incident marks the second "critical" security vulnerability identified in the IBC protocol within the past year, further highlighting the importance of vigilance in blockchain security.

Le bug a été résolu il y a environ trois semaines par le développeur de Cosmos Carlos Rodriguez, comme l'indique un commit GitHub. Cet incident marque la deuxième vulnérabilité de sécurité « critique » identifiée dans le protocole IBC au cours de l'année écoulée, soulignant encore davantage l'importance de la vigilance dans la sécurité de la blockchain.