tradingkey.logo

Cosmos SDK中的安全漏洞可能允许DDOS攻击

Cryptopolitan2025年5月1日 23:35

区块链安全公司Oak Security引起了人们对 Cosmos 链软件开发套件(SDK)中漏洞的担忧,该案例可能导致分布式拒绝服务(DDOS)对网络的攻击。在一个中型帖子中,该公司的两个研究人员爱德华·科蒂(Edward Kotysh)和克里斯蒂安·瓦里(Christian Vari)解释了为什么这是一个主要风险。

根据研究人员,脆弱性在于一个事实,即开始屏蔽和末端块功能不受气体计量的影响。这是通过设计的,因为它使开发人员能够有一些免费的计算时间,因为这两个功能不一定会影响用户交易。

但是,安全专家警告说,对于开发人员来说,这本来可以造成的小余地实际上可能会以多种方式对基于 Cosmos的网络造成重大损害。这些包括引起网络拥塞,影响验证器,甚至导致完全停电。

他们说:

“这种自由可以是一把双刃剑,它可以打开潘多拉的潜在脆弱性盒子。主要问题是,如果没有气体限制,在Beginblock和Endblock中没有限制,不良优化或恶意代码确实会造成严重破坏。”

研究人员通过进行实验测试了他们的理论对脆弱性的潜在影响。在其中一个实验中,他们将随机延迟引入了各种块高度的Beginblock函数,延迟范围从五秒到一分钟不等。

从实验中,专家证实,这些延迟导致网络中的大量拥堵,减缓其进展并增加完成块所需的时间。它还影响了验证者,其中一些未能在所需的时间签名,有些人完全缺少投票阶段。

毫不奇怪,可用于签署交易的有限数量(少于三分之二)意味着测试链经历了临时停电。研究人员指出,这可能会导致主网本身的完整中断,那里有几笔交易需要立即完成。

橡木安全建议开发人员修复

同时,安全专家推荐解决方案,以在不良演员利用它之前修复漏洞。据他们说,有必要实施严格的计算范围,以便甚至任何人都不能简单地添加任何会导致过度计算的攻击向量。

我dent实施该解决方案的三种不同方法。其中包括将时间复杂性添加到Beginblock和EndBlock函数中,因此它们不会在defi中运行,上下文包装以将资源密集型操作保存到计量上下文中,并验证所有输入到功能上。

此外,他们呼吁进行更全面的测试和模拟,以确定如何利用脆弱性及其影响的潜力。

他们还dent了建筑保障措施和操作监控,以确保网络通过标准指标运行并检测任何明显的偏差。

Cosmos SDK启动新版本

同时, Cosmos SDK尚未对安全报告以及是否将采取任何措施解决问题的目的。这可能是因为我dent漏洞实际上是一项设计功能,而不是错误或恶意软件,例如供应链攻击的最新安全警报。

幸运的是,使用 Cosmos SDK的开发人员可以从安全专家那里实施大多数建议,从而使他们能够控制其部署的内容,并确保它不容易受到DDOS攻击的影响。

有趣的是, Cosmos SDK最近启动了其V0.53.0版本。根据X上的公告,该版本是对建筑商对先前版本提出的痛点的响应。

据报道,最新版本的交易,社区池的能力提高,定制治理机制,时代和定制铸造。它还带有错误修复程序,开发人员已经可以在GitHub上升级到它。

Cosmos SDK是开发人员轻松构建自己的自定义网络并与 Cosmos 区块链集成的工具,该网络试图成为区块链的互联网。

加密大都会学院:想在2025年养活您的钱吗?在即将到来的WebClass中DeFi进行操作保存您的位置

免责声明:本网站提供的信息仅供教育和参考之用,不应视为财务或投资建议。

相关文章

tradingkey.logo
tradingkey.logo
日内数据由路孚特(Refinitiv)提供,并受使用条款约束。历史及当前收盘数据均由路孚特提供。所有报价均以当地交易所时间为准。美股报价的实时最后成交数据仅反映通过纳斯达克报告的交易。日内数据延迟至少15分钟或遵循交易所要求。
* 参考、分析和交易策略由第三方提供商Trading Central提供,观点基于分析师的独立评估和判断,未考虑投资者的投资目标和财务状况。
风险提示:我们的网站和移动应用程序仅提供关于某些投资产品的一般信息。Finsights 不提供财务建议或对任何投资产品的推荐,且提供此类信息不应被解释为 Finsights 提供财务建议或推荐。
投资产品存在重大投资风险,包括可能损失投资的本金,且可能并不适合所有人。投资产品的过去表现并不代表其未来表现。
Finsights 可能允许第三方广告商或关联公司在我们的网站或移动应用程序的任何部分放置或投放广告,并可能根据您与广告的互动情况获得报酬。
© 版权所有: FINSIGHTS MEDIA PTE. LTD. 版权所有