Cosmos SDK中的安全漏洞可能允许DDoS攻击

区块链安全公司 Oak Security 对 Cosmos 链软件开发工具包 (SDK) 中的一个漏洞表示担忧，该漏洞可能导致网络上的分布式拒绝服务(DDoS)攻击。在 Medium 的一篇博文中，该公司的两位研究人员 Edward Kotysh 和 Christian Vari 解释了为什么这是一个重大风险。

研究人员指出，漏洞在于 BeginBlock 和 EndBlock 函数不受燃气计量的限制。这是出于设计考虑，因为它使开发者可以获得一些免费计算时间，因为这两个函数并不一定影响用户交易。

然而，安全专家警告说，本 intended 为开发人员提供的微小余地实际上可能会以多种方式对基于 Cosmos 的网络造成重大损害。这些方式包括导致网络拥堵、影响验证者，甚至导致完全停机。

他们说：

“这种自由可能是一把双刃剑，它可能会打开一个充满潜在漏洞的潘多拉魔盒。主要问题是，如果没有燃气限制，BeginBlock 和 EndBlock 中的代码如果优化不佳或存在恶意，将会造成严重的破坏。”

研究人员通过进行实验测试了他们关于漏洞潜在影响的理论。在其中一个实验中，他们在不同的区块高度对 BeginBlock 函数引入了随机延迟，延迟时间从五秒到一分钟不等。

从实验中，专家确认这些延迟导致网络出现了显著的拥堵，减缓了其进展，并增加了完成区块所需的时间。这也影响了验证者，其中一些未能在规定时间内签署区块，还有一些完全错过了投票阶段。

毫不意外，能够签署交易的验证者数量有限，(不到三分之二)，这意味着测试链经历了暂时的中断。研究人员指出，这可能导致主网本身的完全中断，在那里有多个交易同时发生，需要被确认。

橡树安全建议开发者进行修复

与此同时，安全专家建议在恶意行为者利用该漏洞之前，采取解决方案来修复它。他们认为需要实施严格的计算限制，以便即使是任何人也无法简单地添加任何攻击向量，从而导致过度计算。

他们确定了三种不同的实现此解决方案的方法。这些方法包括向 BeginBlock 和 EndBlock 函数添加时间复杂性，以确保它们不会无限运行，使用上下文包装将资源密集型操作保持在计量上下文中，以及对函数的所有输入进行验证。

此外，他们呼吁进行更全面的测试和模拟，以确定该漏洞如何被利用及其潜在影响。

他们还确定了架构保障措施和操作监控，以确保网络按照标准指标运行，并检测任何重大偏差。

Cosmos SDK推出新版本

与此同时，Cosmos SDK 尚未对此安全报告做出评论，也未说明他们是否会采取措施解决此问题。这可能是因为所识别的漏洞实际上是一个设计特性，而不是像最近关于供应链攻击的安全警报那样的错误或恶意软件。

幸运的是，使用 Cosmos SDK 的开发者可以实施大多数安全专家的建议，使他们能够控制所部署的内容，并确保其不易受到 DDoS 攻击。

有趣的是，Cosmos SDK 最近推出了其版本 v0.53.0。根据在 X 上的公告，该版本是对构建者对先前版本提出的痛点的回应。

最新版本据报道增加了无序交易、社区池的改进能力、自定义治理机制、周期以及自定义铸造。它还修复了bug，开发者已经可以在GitHub上升级到该版本。

Cosmos SDK 是一个工具，帮助开发者轻松构建自己定制的网络并与 Cosmos 区块链集成，这是一个寻求成为区块链互联网的网络。

Cryptopolitan Academy: 想在2025年增长你的资金吗？在我们即将举行的网络课中学习如何通过DeFi做到这一点。保存你的名额