Gate News 消息,4 月 22 日——安全研究员朴度妍(Doyeon Park)披露了 Cosmos 共识层 CometBFT 中一项关键的 CVSS 7.1 零日漏洞,该漏洞可能导致节点在区块同步期间冻结,从而潜在影响为 $8 billion 以上资产提供安全保障的网络。该漏洞无法直接窃取资金。
Park 于 2 月 22 日启动协调披露流程,但遭到厂商的阻挠;厂商要求其提交公开的 GitHub 问题,却拒绝公开披露。3 月 4 日,HackerOne 将他的第二份报告标记为垃圾邮件(spam)。3 月 6 日,厂商任意将相关漏洞 (CVE-2025-24371) 降级为“信息级别”(“informational”),无视国际标准。Park 在 4 月 21 日公开披露该缺陷前,提交了网络层面的概念验证(proof-of-concept)以反制这一决定。
Park 建议 Cosmos 验证者在发布补丁之前避免重启节点。已经处于共识模式的节点可以继续运行,但重启并进入同步可能使其暴露在来自恶意对等方的攻击之下,进而可能导致死锁。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
朝鲜恐怖受害者提交动议请求扣押 $71M ,并将其重新定性为欺诈
为三起朝鲜恐怖袭击案件受害者提供法律代理的律师在周二提交了一份 30 页的答复,将 4 月 18 日的 Aave 黑客攻击重新界定为欺诈而非盗窃。这一区别具有法律意义:将该事件认定为欺诈可能会使攻击者获得对所借出资产的法律所有权
GateNews2 分钟前
Kelp DAO 在 2.92 亿美元桥接漏洞之后改用 Chainlink CCIP,放弃 LayerZero
据 The Block 称,Kelp DAO 在上个月发生 2.92 亿美元桥接漏洞之后,放弃了 LayerZero,转而使用 Chainlink 的跨链互操作协议(CCIP)。Chainlink 的一位代表确认,Kelp DAO 是自该攻击以来首个从 LayerZero 迁移的大型协议。On
GateNews12 分钟前
LayerZero 联合创始人驳斥 KelpDAO 指控,称已在 2024 年 4 月 1 日进行手动配置变更
根据 Bryan Pellegrino(LayerZero Labs 联合创始人兼首席执行官)的说法,针对 KelpDAO 的大多数指控并无根据。5 月 6 日,Pellegrino 表示,Kelp 起初使用默认的 MultiDVN 或 DeadDVN 配置,但在 2024 年 4 月 1 日手动将其更改为 1/1 配置,依据链上
GateNews32 分钟前
Bitcoin Core 矿工远程执行代码漏洞,43% 节点未升级
据 Protos 于 5 月 5 日报道,Bitcoin Core 开发者在官方网站公开披露高危漏洞 CVE-2024-52911,该漏洞允许矿工通过挖掘特制区块,远程崩溃其他用户的节点并在特定条件下执行代码。由于比特币全节点升级为自愿行为,目前估计仍有约 43% 的节点运行存在漏洞的旧版软件。
Market Whisper2小时前
比特币核心漏洞 CVE-2024-52911 允许远程代码执行;仍有 43% 的节点未修补
据 Protos 称,比特币核心(Bitcoin Core)开发者最近披露了一项关键漏洞(CVE-2024-52911),该漏洞影响 0.14.1 至 28.4 版本,使矿工能够通过挖掘特制区块远程崩溃节点并执行任意代码。该漏洞由开发者 Cory 于 2024 年 11 月发现
GateNews3小时前
Ekubo:EVM Swap 路由合约发生安全事件,Starknet 未受影响
根据 AMM 基础设施 Ekubo 于 5 月 6 日在 X 平台发布的官方公告,Ekubo 在 EVM 链上的 Swap 路由合约发生安全事件。Ekubo 确认,流动性提供者(LP)及 Starknet 均未受到本次事件影响;团队正在调查事件范围,并准备事后分析报告。
Market Whisper3小时前
