В сети Cosmos, важнейшем инфраструктурном компоненте криптовалютной экосистемы, обнаружена критическая уязвимость безопасности.
Исследовательница в области информационной безопасности Доён Пак публично сообщила об обнаруженной ею уязвимости нулевого дня в CometBFT, используемой в консенсусном слое Cosmos (ATOM).
Согласно информации, предоставленной Паком, уязвимость оценивается как CVSS 7.1 (высокий уровень) и может привести к блокировке узлов в экосистеме Cosmos во время процесса синхронизации блоков. Хотя это напрямую не приводит к краже активов, это считается потенциальным риском, который может вызвать значительные сбои в работе сети, обеспечивающей безопасность активов на сумму более 8 миллиардов долларов.
Исследователь заявил, что они следовали процедуре скоординированного раскрытия уязвимостей (CVD), которая обычно предусматривает ответственное раскрытие уязвимостей, но решили обнародовать свои выводы из-за проблем с коммуникацией и отсутствия сотрудничества с соответствующей командой разработчиков. Пак добавил, что разработчик несет ответственность за любые риски безопасности, которые могут возникнуть в ходе этого процесса.
После объявления было также опубликовано «руководство по выживанию» для валидаторов Cosmos. Согласно этому руководству, операторам узлов рекомендуется по возможности не перезапускать свои системы до устранения уязвимости. Это связано с тем, что уязвимость особенно часто проявляется на этапе синхронизации блоков. Хотя узлы, работающие в режиме консенсуса, могут продолжать функционировать без проблем, перезапущенные узлы могут заблокироваться и не смогут повторно подключиться к сети, если столкнутся со злонамеренным узлом.
Пак также сделал примечательные заявления относительно обстоятельств раскрытия информации. По словам исследователя, команда разработчиков утверждала, что уязвимость не может быть использована, и просила опубликовать отчет на GitHub, но отказалась от подробного объяснения. Затем Пак заявил, что предоставил сетевое «доказательство концепции» (PoC), демонстрирующее, что уязвимость действительно может быть использована, но после этого не получил никакой дальнейшей обратной связи.
С другой стороны, также утверждалось, что уязвимость с кодом CVE-2025-24371, которая, как ранее заявлялось, имела тот же эффект, была переклассифицирована командой разработчиков как «незначительная». Пак утверждал, что это противоречит критериям MITRE и FIRST, которые устанавливают международные стандарты.
Исследователь также утверждал, что сообщил о более серьезной уязвимости через HackerOne, но сообщение было помечено как «спам» без технической проверки. Пак отметил, что аналогичные проблемы поднимались и другими исследователями, участвующими в программе вознаграждения за обнаружение ошибок Cosmos.
*Это не инвестиционная рекомендация.