Cosmos SDK中的安全漏洞可能允許DDOS攻擊

區塊鏈安全公司Oak Security引起了人們對 Cosmos 鏈軟件開發套件（SDK）中漏洞的擔憂，該案例可能導致分佈式拒絕服務（DDOS）對網絡的攻擊。在一箇中型帖子中，該公司的兩個研究人員愛德華·科蒂（Edward Kotysh）和克里斯蒂安·瓦里（Christian Vari）解釋了爲什麼這是一個主要風險。

根據研究人員，脆弱性在於一個事實，即開始屏蔽和末端塊功能不受氣體計量的影響。這是通過設計的，因爲它使開發人員能夠有一些免費的計算時間，因爲這兩個功能不一定會影響用戶交易。

但是，安全專家警告說，對於開發人員來說，這本來可以造成的小余地實際上可能會以多種方式對基於 Cosmos的網絡造成重大損害。這些包括引起網絡擁塞，影響驗證器，甚至導致完全停電。

他們說：

“這種自由可以是一把雙刃劍，它可以打開潘多拉的潛在脆弱性盒子。主要問題是，如果沒有氣體限制，在Beginblock和Endblock中沒有限制，不良優化或惡意代碼確實會造成嚴重破壞。”

研究人員通過進行實驗測試了他們的理論對脆弱性的潛在影響。在其中一個實驗中，他們將隨機延遲引入了各種塊高度的Beginblock函數，延遲範圍從五秒到一分鐘不等。

從實驗中，專家證實，這些延遲導致網絡中的大量擁堵，減緩其進展並增加完成塊所需的時間。它還影響了驗證者，其中一些未能在所需的時間簽名，有些人完全缺少投票階段。

毫不奇怪，可用於簽署交易的有限數量（少於三分之二）意味着測試鏈經歷了臨時停電。研究人員指出，這可能會導致主網本身的完整中斷，那裏有幾筆交易需要立即完成。

橡木安全建議開發人員修復

同時，安全專家推薦解決方案，以在不良演員利用它之前修復漏洞。據他們說，有必要實施嚴格的計算範圍，以便甚至任何人都不能簡單地添加任何會導致過度計算的攻擊向量。

我dent實施該解決方案的三種不同方法。其中包括將時間複雜性添加到Beginblock和EndBlock函數中，因此它們不會在defi中運行，上下文包裝以將資源密集型操作保存到計量上下文中，並驗證所有輸入到功能上。

此外，他們呼籲進行更全面的測試和模擬，以確定如何利用脆弱性及其影響的潛力。

他們還dent了建築保障措施和操作監控，以確保網絡通過標準指標運行並檢測任何明顯的偏差。

Cosmos SDK啓動新版本

同時， Cosmos SDK尚未對安全報告以及是否將採取任何措施解決問題的目的。這可能是因爲我dent漏洞實際上是一項設計功能，而不是錯誤或惡意軟件，例如供應鏈攻擊的最新安全警報。

幸運的是，使用 Cosmos SDK的開發人員可以從安全專家那裏實施大多數建議，從而使他們能夠控制其部署的內容，並確保它不容易受到DDOS攻擊的影響。

有趣的是， Cosmos SDK最近啓動了其V0.53.0版本。根據X上的公告，該版本是對建築商對先前版本提出的痛點的響應。

據報道，最新版本的交易，社區池的能力提高，定製治理機制，時代和定製鑄造。它還帶有錯誤修復程序，開發人員已經可以在GitHub上升級到它。

Cosmos SDK是開發人員輕鬆構建自己的自定義網絡並與 Cosmos 區塊鏈集成的工具，該網絡試圖成爲區塊鏈的互聯網。

加密大都會學院：想在2025年養活您的錢嗎？在即將到來的WebClass中DeFi進行操作保存您的位置