Blok Zinciri güvenlik firması Oak Security, (SDK) yazılım geliştirme kitinde, ağda Dağıtılmış Hizmet Engelleme (DDoS) saldırısına yol açabilecek bir güvenlik açığı konusunda endişelerini dile getirdi. Medium'da yayımlanan bir yazıda, firmanın iki araştırmacısı Edward Kotysh ve Christian Vari, bunun neden büyük bir risk olduğunu açıkladılar.
Araştırmacılara göre, zayıflık BeginBlock ve EndBlock fonksiyonlarının gaz ölçme işlemine tabi olmamasından kaynaklanıyor. Bu, geliştiricilere bazı ücretsiz hesaplama süreleri sağlaması açısından tasarlandı, çünkü bu iki fonksiyon kullanıcı işlemlerini mutlaka etkilemez.
Ancak, güvenlik uzmanları, geliştiriciler için tasarlanmış olan küçük bir esnekliğin, Cosmos tabanlı ağlara birkaç şekilde önemli zararlar verebileceğini uyardı. Bu durumlar arasında ağ tıkanıklığına neden olmak, doğrulayıcıları etkilemek veya hatta tam bir kesintiye yol açmak bulunuyor.
Onlar dedi ki:
“Bu özgürlük iki ucu keskin bir kılıç olabilir ve potansiyel zayıflıkların Pandora'nın kutusunu açabilir. Ana sorun, gaz limitleri olmadan, BeginBlock ve EndBlock içindeki kötü optimize edilmiş veya kötü niyetli kodun gerçekten büyük zararlara yol açabilmesidir.”
Araştırmacılar, zayıflığın potansiyel etkisi üzerine teorilerini test etmek için deneyler gerçekleştirdiler. Deneylerden birinde, BeginBlock fonksiyonuna farklı blok yüksekliklerinde rastgele gecikmeler eklediler; gecikmeler beş saniyeden bir dakikaya kadar değişiyordu.
Deneylerden, uzmanlar gecikmelerin ağda önemli bir tıkanmaya yol açtığını, ilerlemesini yavaşlattığını ve blokları tamamlamak için gereken süreyi artırdığını doğruladılar. Bu durum, bazı doğrulayıcıların gerekli zamanlarda blokları imzalamakta başarısız olması ve bazılarının oy verme aşamalarını tamamen kaçırmasıyla doğrulayıcıları da etkiledi.
Şaşırtıcı bir şekilde, işlemleri imzalamak için mevcut olan sınırlı sayıda doğrulayıcı, ( iki üçte birden daha az) olduğu için test zinciri geçici kesintiler yaşadı. Araştırmacılar, bunun ana ağda da tamamen bir kesintiye yol açabileceğini, burada bir anda finalize edilmesi gereken birkaç işlemin olduğunu belirtti.
Oak Security, geliştiriciler için düzeltmeler öneriyor.
Bu arada, güvenlik uzmanları, kötü niyetli bir aktör bu açığı kullanmadan önce düzeltmek için çözümler önerdi. Onlara göre, aşırı hesaplamaya neden olabilecek herhangi bir saldırı vektörünün eklenmesini engellemek için sıkı hesaplama sınırlarının uygulanması gerekiyor.
Bu çözümü uygulamanın üç farklı yolunu belirlediler. Bunlar, BeginBlock ve EndBlock fonksiyonlarına zaman karmaşıklığı eklemek, böylece sonsuz bir şekilde çalışmamalarını sağlamak, kaynak yoğun işlemleri ölçümlü bağlamlarda tutmak için bağlam sarmalamak ve fonksiyona yapılan tüm girdilerin doğrulanmasıdır.
Ayrıca, zafiyetin nasıl istismar edilebileceğini ve potansiyel etkisini belirlemek için daha kapsamlı testler ve simülasyonlar yapılması çağrısında bulundular.
Ayrıca, ağların standart metriklere göre çalışmasını sağlamak ve herhangi bir önemli sapmayı tespit etmek için mimari koruma önlemleri ve operasyonel izleme belirlediler.
Cosmos SDK yeni versiyonunu piyasaya sürdü
Bu arada, Cosmos SDK güvenlik raporu hakkında henüz bir yorumda bulunmadı ve sorunu kendi taraflarında ele alıp almayacakları konusunda bir şey söylemedi. Bu, tespit edilen açığın aslında bir tasarım özelliği olması ve son zamanlardaki tedarik zinciri saldırıları gibi bir hata veya kötü amaçlı yazılım olmaması nedeniyle olabilir.
Neyse ki, Cosmos SDK kullanan geliştiriciler, güvenlik uzmanlarının önerilerinin çoğunu uygulayabilirler; bu da onların neyi dağıttıklarını kontrol etmelerini ve DDoS saldırılarına karşı savunmasız olmalarını sağlamaktadır.
İlginç bir şekilde, Cosmos SDK geçtiğimiz günlerde v0.53.0 sürümünü piyasaya sürdü. X'teki duyuruya göre, bu sürüm, geliştiricilerin önceki sürümle ilgili dile getirdiği sorunlara bir yanıt niteliği taşıyor.
Son sürümün, sırasız işlemler, topluluk havuzları için geliştirilmiş kapasiteler, özel yönetişim mekanizmaları, dönemler ve özel mintleme ile birlikte geldiği bildiriliyor. Ayrıca hata düzeltmeleri de içeriyor ve geliştiriciler şimdiden GitHub'da buna geçiş yapabilirler.
Cosmos SDK, geliştiricilerin kendi özelleştirilmiş ağlarını kolayca inşa etmeleri ve Cosmos blok zinciri ile entegre olmaları için bir araçtır. Cosmos, Blok Zincirleri İnterneti olmayı hedefleyen bir ağdır.
Cryptopolitan Akademisi: 2025'te paranızı mı büyütmek istiyorsunuz? Bunu DeFi ile nasıl yapacağınızı öğrenin, yaklaşan web sınıfımızda. Yerinizi Ayırtın
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Cosmos SDK'deki güvenlik açığı DDoS saldırılarına olanak tanıyabilir.
Blok Zinciri güvenlik firması Oak Security, (SDK) yazılım geliştirme kitinde, ağda Dağıtılmış Hizmet Engelleme (DDoS) saldırısına yol açabilecek bir güvenlik açığı konusunda endişelerini dile getirdi. Medium'da yayımlanan bir yazıda, firmanın iki araştırmacısı Edward Kotysh ve Christian Vari, bunun neden büyük bir risk olduğunu açıkladılar.
Araştırmacılara göre, zayıflık BeginBlock ve EndBlock fonksiyonlarının gaz ölçme işlemine tabi olmamasından kaynaklanıyor. Bu, geliştiricilere bazı ücretsiz hesaplama süreleri sağlaması açısından tasarlandı, çünkü bu iki fonksiyon kullanıcı işlemlerini mutlaka etkilemez.
Ancak, güvenlik uzmanları, geliştiriciler için tasarlanmış olan küçük bir esnekliğin, Cosmos tabanlı ağlara birkaç şekilde önemli zararlar verebileceğini uyardı. Bu durumlar arasında ağ tıkanıklığına neden olmak, doğrulayıcıları etkilemek veya hatta tam bir kesintiye yol açmak bulunuyor.
Onlar dedi ki:
“Bu özgürlük iki ucu keskin bir kılıç olabilir ve potansiyel zayıflıkların Pandora'nın kutusunu açabilir. Ana sorun, gaz limitleri olmadan, BeginBlock ve EndBlock içindeki kötü optimize edilmiş veya kötü niyetli kodun gerçekten büyük zararlara yol açabilmesidir.”
Araştırmacılar, zayıflığın potansiyel etkisi üzerine teorilerini test etmek için deneyler gerçekleştirdiler. Deneylerden birinde, BeginBlock fonksiyonuna farklı blok yüksekliklerinde rastgele gecikmeler eklediler; gecikmeler beş saniyeden bir dakikaya kadar değişiyordu.
Deneylerden, uzmanlar gecikmelerin ağda önemli bir tıkanmaya yol açtığını, ilerlemesini yavaşlattığını ve blokları tamamlamak için gereken süreyi artırdığını doğruladılar. Bu durum, bazı doğrulayıcıların gerekli zamanlarda blokları imzalamakta başarısız olması ve bazılarının oy verme aşamalarını tamamen kaçırmasıyla doğrulayıcıları da etkiledi.
Şaşırtıcı bir şekilde, işlemleri imzalamak için mevcut olan sınırlı sayıda doğrulayıcı, ( iki üçte birden daha az) olduğu için test zinciri geçici kesintiler yaşadı. Araştırmacılar, bunun ana ağda da tamamen bir kesintiye yol açabileceğini, burada bir anda finalize edilmesi gereken birkaç işlemin olduğunu belirtti.
Oak Security, geliştiriciler için düzeltmeler öneriyor.
Bu arada, güvenlik uzmanları, kötü niyetli bir aktör bu açığı kullanmadan önce düzeltmek için çözümler önerdi. Onlara göre, aşırı hesaplamaya neden olabilecek herhangi bir saldırı vektörünün eklenmesini engellemek için sıkı hesaplama sınırlarının uygulanması gerekiyor.
Bu çözümü uygulamanın üç farklı yolunu belirlediler. Bunlar, BeginBlock ve EndBlock fonksiyonlarına zaman karmaşıklığı eklemek, böylece sonsuz bir şekilde çalışmamalarını sağlamak, kaynak yoğun işlemleri ölçümlü bağlamlarda tutmak için bağlam sarmalamak ve fonksiyona yapılan tüm girdilerin doğrulanmasıdır.
Ayrıca, zafiyetin nasıl istismar edilebileceğini ve potansiyel etkisini belirlemek için daha kapsamlı testler ve simülasyonlar yapılması çağrısında bulundular.
Ayrıca, ağların standart metriklere göre çalışmasını sağlamak ve herhangi bir önemli sapmayı tespit etmek için mimari koruma önlemleri ve operasyonel izleme belirlediler.
Cosmos SDK yeni versiyonunu piyasaya sürdü
Bu arada, Cosmos SDK güvenlik raporu hakkında henüz bir yorumda bulunmadı ve sorunu kendi taraflarında ele alıp almayacakları konusunda bir şey söylemedi. Bu, tespit edilen açığın aslında bir tasarım özelliği olması ve son zamanlardaki tedarik zinciri saldırıları gibi bir hata veya kötü amaçlı yazılım olmaması nedeniyle olabilir.
Neyse ki, Cosmos SDK kullanan geliştiriciler, güvenlik uzmanlarının önerilerinin çoğunu uygulayabilirler; bu da onların neyi dağıttıklarını kontrol etmelerini ve DDoS saldırılarına karşı savunmasız olmalarını sağlamaktadır.
İlginç bir şekilde, Cosmos SDK geçtiğimiz günlerde v0.53.0 sürümünü piyasaya sürdü. X'teki duyuruya göre, bu sürüm, geliştiricilerin önceki sürümle ilgili dile getirdiği sorunlara bir yanıt niteliği taşıyor.
Son sürümün, sırasız işlemler, topluluk havuzları için geliştirilmiş kapasiteler, özel yönetişim mekanizmaları, dönemler ve özel mintleme ile birlikte geldiği bildiriliyor. Ayrıca hata düzeltmeleri de içeriyor ve geliştiriciler şimdiden GitHub'da buna geçiş yapabilirler.
Cosmos SDK, geliştiricilerin kendi özelleştirilmiş ağlarını kolayca inşa etmeleri ve Cosmos blok zinciri ile entegre olmaları için bir araçtır. Cosmos, Blok Zincirleri İnterneti olmayı hedefleyen bir ağdır.
Cryptopolitan Akademisi: 2025'te paranızı mı büyütmek istiyorsunuz? Bunu DeFi ile nasıl yapacağınızı öğrenin, yaklaşan web sınıfımızda. Yerinizi Ayırtın