今日,一位用戶@Jessysaurusrex在Cosmos官方論壇上表示,兩天前,CosmosSDK中的一個重要安全漏洞通過security@tendermint com被報告給了Ten
今日,一位用戶@Jessysaurusrex在Cosmos官方論壇上表示,兩天前,CosmosSDK中的一個重要安全漏洞通過security@tendermint.com被報告給了Tendermint團隊。她還表示,CosmosSDK v0.34.6版本(已發(fā)布)將添加一個針對這個漏洞的補丁,并將在7-10個工作日內(nèi)提供關于這個漏洞的技術細節(jié),以便能夠有一個合理的時間來加固網(wǎng)絡系統(tǒng)。
為了應對這個問題,我們目前正在協(xié)調(diào)一個硬分叉來升級Cosmos主網(wǎng),并且我們正在與網(wǎng)絡驗證者(validators)進行接觸,以確保它們能夠在區(qū)塊高度482100處進行的網(wǎng)絡分叉期間進行響應。截止到目前,該硬分叉提案已經(jīng)獲得一致通過。
如果您是Cosmos全節(jié)點的服務提供者,建議您立即升級到CosmosSDK的最新、最安全的版本。
由于這個問題的嚴重性,我們已經(jīng)向可能受到影響的組織提供了早期通知,以便在CosmosSDK的0.34.6版本可用時(目前已發(fā)布),系統(tǒng)可以為升級做好準備。
不過,需要指出的是,官方團隊表示,該漏洞不能被用來生成新的ATOM代幣,也不能被用來竊取其他人的ATOM代幣。
此后,Cosmos核心開發(fā)者Sunny Aggarwal發(fā)布聲明表示,我們已經(jīng)在Cosmos Hub上創(chuàng)建了一個提案,以便在驗證器成功升級節(jié)點時發(fā)出信號,以判斷網(wǎng)絡是否準備好接受這次硬分叉。
“正如用戶@Jessysaurusrex在Cosmos論壇上所描述的,All in Bits已經(jīng)了解到Cosmos Hub的代碼庫存在一個關鍵的安全漏洞。我們認為這個問題是非常嚴重的,似乎可以利用這個漏洞降低區(qū)塊鏈的PoS系統(tǒng)的安全模型。這種漏洞不會導致ATOM被盜或憑空產(chǎn)生ATOM。
All in Bits發(fā)布了一個源代碼補丁——Gaia v0.34.6,關閉了從區(qū)塊高度482100開始的可用代碼路徑。我們建議的升級代碼Git hash是:80234baf91a15dd9a7df8dca38677b66b8d148c1。作為一種POS網(wǎng)絡,我們?yōu)檫@個bug和補丁的合法性進行了代幣抵押,并鼓勵其他熟悉這份報告的人也這么做。
如果被揭露的bug被證明是捏造的或在某種程度上是惡意的,我們敦促Cosmos Hub治理機構通過對這個提議投否決票來削減這些ATOM。我們鼓勵驗證器和所有用戶在區(qū)塊482100之前將其節(jié)點升級到Gaia v0.34.6。我們請求驗證者在將節(jié)點升級到v0.34.6之后對該硬分叉提議投贊成票,以表明網(wǎng)絡已經(jīng)準備好進行升級。”
截止到目前為止,所有參與信號投票的驗證者都已經(jīng)表示準備好進行硬分叉(100% Yes),該提案已經(jīng)獲得通過。