Pesan Gate News, 22 April — Peneliti keamanan Doyeon Park mengungkap kerentanan zero-day kritis CVSS 7.1 pada lapisan konsensus CometBFT di Cosmos yang dapat menyebabkan node membeku selama sinkronisasi blok, berpotensi memengaruhi jaringan yang mengamankan lebih dari $8 miliar aset. Kerentanan ini tidak dapat secara langsung mencuri dana.
Park memulai proses pengungkapan terkoordinasi pada 22 Februari tetapi menghadapi penolakan dari vendor, yang meminta pengajuan isu GitHub secara publik sambil menolak pengungkapan publik. Pada 4 Maret, HackerOne menandai laporan keduanya sebagai spam. Pada 6 Maret, vendor secara sewenang-wenang menurunkan kerentanan terkait (CVE-2025-24371) menjadi tingkat “informational”, mengabaikan standar internasional. Park mengajukan bukti konsep tingkat jaringan untuk menanggapi keputusan ini sebelum mengungkapkan kekurangan tersebut secara publik pada 21 April.
Park merekomendasikan validator Cosmos menghindari melakukan restart node sebelum patch dirilis. Node yang sudah berada dalam mode konsensus dapat terus beroperasi, tetapi restart dan masuk ke sinkronisasi dapat membuat mereka terekspos serangan dari rekan berbahaya, yang berpotensi menyebabkan deadlock.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Aftermath Finance Membuka Halaman Klaim untuk Pengguna yang Terdampak Serangan Setelah Insiden Pekan Lalu
Menurut pernyataan resmi Sui di X, Aftermath Finance telah membuka halaman klaim bagi pengguna yang terdampak serangan pekan lalu, dengan semua pengembalian dana telah diproses. Saat pengguna terhubung kembali ke aftermath.finance, sistem akan meminta mereka untuk menarik saldo dari Aftermath Perps. Pengguna yang terdampak dapat menghubungi th
GateNews1jam yang lalu
Ripple Membagikan Intelijen Peretas Korea Utara dengan Industri Kripto karena Metode Serangan Beralih ke Rekayasa Sosial
Menurut BlockBeats, pada 5 Mei, Ripple mengumumkan bahwa pihaknya membagikan intelijen ancaman internal tentang peretas Korea Utara kepada industri kripto melalui Crypto ISAC. Langkah ini mengatasi pergeseran mendasar dalam metodologi serangan: alih-alih mengeksploitasi kerentanan kode smart contract, pelaku ancaman
GateNews1jam yang lalu
Tydro Menghentikan Semua Pasar pada 5 Mei karena Masalah Oracle; Dana Pengguna Aman
Menurut BlockBeats, Tydro, protokol pinjam-meminjam di ekosistem Ink, menangguhkan semua pasar pada 5 Mei setelah laporan masalah oracle pihak ketiga. Tim mengonfirmasi dana pengguna tetap aman dan sedang menyelidiki
GateNews1jam yang lalu
Penipu dengan sandi Morse berhasil mengelabui AI agent! Peretas membujuk Grok dan BankrBot untuk melakukan transfer, berhasil mengantongi 170 ribu dolar AS aset kripto
Platform X mengungkap kerentanan AI agent: penyerang mendapatkan hak transfer dari dompet Grok melalui Bankr Club NFT, lalu menggunakan perintah sandi Morse untuk memaksa BankrBot memindahkan sekitar 300 juta DRB tanpa persetujuan manusia, dengan nilai sekitar 17,5 ribu dolar AS. Masalahnya ada pada arsitektur BankrBot yang tidak menganggap keluaran AI sebagai otorisasi; dana sudah dipulihkan, dan pihak terkait akan memperkuat perlindungan seperti kunci API dan daftar putih IP.
ChainNewsAbmedia2jam yang lalu
Aave Berupaya Mengangkat Pembekuan $73M ETH dari Eksploit Kelp DAO
Aave LLC mengajukan mosi darurat di pengadilan federal pada 1 Mei untuk mencabut pembekuan yang diperintahkan pengadilan atas sekitar $73 juta dalam ether yang dipulihkan dari eksploitasi Kelp DAO pada 18 April, dengan berargumen bahwa kepemilikan sementara atas aset yang dicuri tidak sama dengan kepemilikan sebenarnya. Mosi tersebut menantang pembatasan yang mencegah
CryptoFrontier4jam yang lalu
