Cosmos IBC プロトコルの脆弱性が修正され、1 億 2,600 万ドルの損失を回避

Cosmos の開発者は、ブロックチェーン間通信 (IBC) プロトコルの重大なセキュリティ上の欠陥を解決し、少なくとも 1 億 2,600 万ドルを潜在的な盗難から守りました。ブロックチェーン セキュリティ企業の Ametric Research がこの脆弱性を発見し、HackerOne Bug Bounty プログラムを通じて Cosmos に通知しました。このバグは 2021 年の IBC の立ち上げ以来存在しており、IBC に接続されたチェーン上で無限のトークン鋳造が可能でした。しかし、IBC に接続された人気の分散型金融エコシステムである Osmosis にレート制限が導入されたことで、潜在的な損害は軽減されました。コスモスは 3 週間以内にこの問題を修正し、マルチチェーン エコシステムにおける多層防御と継続的なセキュリティ研究の重要性を実証しました。

Cosmos IBC Protocol Bug Patched, Preventing Potential $126 Million Loss

Cosmos IBC プロトコルのバグがパッチされ、1 億 2,600 万ドルの損失を回避

A critical security vulnerability in the Inter-Blockchain Communication (IBC) protocol of the Cosmos blockchain platform has been addressed, mitigating a potential loss of up to $126 million. The issue was privately reported to Cosmos by blockchain security firm Asymmetric Research, which played a pivotal role in safeguarding the network.

Cosmos ブロックチェーン プラットフォームのブロックチェーン間通信 (IBC) プロトコルの重大なセキュリティ脆弱性が解決され、最大 1 億 2,600 万ドルの潜在的な損失が軽減されました。この問題は、ネットワークを保護する上で極めて重要な役割を果たしたブロックチェーンセキュリティ企業のアシンメトリックリサーチ社によって非公開でコスモスに報告された。

In a statement released on April 23, Asymmetric Research confirmed the vulnerability's existence and its subsequent resolution: "We privately disclosed the vulnerability through the Cosmos HackerOne Bug Bounty program and the issue is now patched."

4 月 23 日に発表された声明の中で、Ametric Research はこの脆弱性の存在とその後の解決策を確認し、「当社は Cosmos HackerOne Bug Bounty プログラムを通じてこの脆弱性を非公開で公開し、現在この問題にはパッチが適用されています。」と述べています。

According to Asymmetric Research, the bug allowed for a reentrancy attack, potentially enabling malicious actors to mint an infinite number of tokens on IBC-connected chains, such as Osmosis and other decentralized finance (DeFi) platforms built on Cosmos. "We believe at least 126M+ in assets could have been stolen on Osmosis," the firm stated.

Ametric Research によると、このバグにより再入攻撃が可能となり、悪意のある攻撃者が Osmosis や Cosmos 上に構築されたその他の分散型金融 (DeFi) プラットフォームなど、IBC に接続されたチェーン上で無限の数のトークンを鋳造できる可能性があります。 「少なくとも1億2600万以上の資産がオズモシス上で盗まれた可能性があると考えている」と同社は述べた。

However, Asymmetric Research emphasized that due to rate limiting mechanisms in place on Osmosis, the damage that could have been caused was mitigated. Rate limits are employed to control the rate at which requests are made, preventing or minimizing the impact of attacks that attempt to overwhelm a system.

しかし、非対称リサーチは、Osmosis に導入された速度制限メカニズムにより、引き起こされた可能性のある損害は軽減されたと強調しました。レート制限は、リクエストが行われるレートを制御するために使用され、システムを圧倒しようとする攻撃の影響を防止または最小限に抑えます。

The vulnerability had persisted in the ibc-go implementation of IBC since its launch in 2021. It became exploitable only recently, following the introduction of a new third-party application known as IBC middleware, which facilitates the transfer of ICS20 (interchain token standard) tokens across different chains.

この脆弱性は、2021 年の発表以来、IBC の ibc-go 実装に存在していました。この脆弱性が悪用可能になったのは、ICS20 (チェーン間トークン標準) の転送を容易にする IBC ミドルウェアとして知られる新しいサードパーティ アプリケーションの導入後、つい最近になってからです。さまざまなチェーンにわたるトークン。

Asymmetric Research underscored the critical need for ongoing research into cross-chain security risks to enhance the protection of the multichain ecosystem: "This issue demonstrates how easy it is to break trust assumptions and introduce new vulnerabilities by adding new features and functionality. It is also another example of the importance of defense-in-depth."

アシンメトリー・リサーチは、マルチチェーン・エコシステムの保護を強化するために、クロスチェーン・セキュリティー・リスクに関する継続的な研究の重要な必要性を強調し、「この問題は、新しい特徴や機能を追加することで、信頼の前提を破り、新しい脆弱性を導入することがいかに簡単であるかを示しています。また、多層防御の重要性を示すもう 1 つの例です。」

The bug was resolved approximately three weeks ago by Cosmos developer Carlos Rodriguez, as indicated by a GitHub commit. This incident marks the second "critical" security vulnerability identified in the IBC protocol within the past year, further highlighting the importance of vigilance in blockchain security.

GitHub のコミットで示されているように、このバグは Cosmos 開発者の Carlos Rodriguez によって約 3 週間前に解決されました。このインシデントは、過去 1 年間に IBC プロトコルで確認された 2 番目の「重大な」セキュリティ脆弱性を示しており、ブロックチェーン セキュリティにおける警戒の重要性がさらに強調されています。