今日,一位用戶@Jessysaurusrex在Cosmos官方論壇上表示,兩天前,CosmosSDK中的一個重要安全漏洞通過security@tendermint com被報告給了Ten
今日,一位用戶@Jessysaurusrex在Cosmos官方論壇上表示,兩天前,CosmosSDK中的一個重要安全漏洞通過security@tendermint.com被報告給了Tendermint團隊。她還表示,CosmosSDK v0.34.6版本(已發布)將添加一個針對這個漏洞的補丁,并將在7-10個工作日內提供關于這個漏洞的技術細節,以便能夠有一個合理的時間來加固網絡系統。
為了應對這個問題,我們目前正在協調一個硬分叉來升級Cosmos主網,并且我們正在與網絡驗證者(validators)進行接觸,以確保它們能夠在區塊高度482100處進行的網絡分叉期間進行響應。截止到目前,該硬分叉提案已經獲得一致通過。
如果您是Cosmos全節點的服務提供者,建議您立即升級到CosmosSDK的最新、最安全的版本。
由于這個問題的嚴重性,我們已經向可能受到影響的組織提供了早期通知,以便在CosmosSDK的0.34.6版本可用時(目前已發布),系統可以為升級做好準備。
不過,需要指出的是,官方團隊表示,該漏洞不能被用來生成新的ATOM代幣,也不能被用來竊取其他人的ATOM代幣。
此后,Cosmos核心開發者Sunny Aggarwal發布聲明表示,我們已經在Cosmos Hub上創建了一個提案,以便在驗證器成功升級節點時發出信號,以判斷網絡是否準備好接受這次硬分叉。
“正如用戶@Jessysaurusrex在Cosmos論壇上所描述的,All in Bits已經了解到Cosmos Hub的代碼庫存在一個關鍵的安全漏洞。我們認為這個問題是非常嚴重的,似乎可以利用這個漏洞降低區塊鏈的PoS系統的安全模型。這種漏洞不會導致ATOM被盜或憑空產生ATOM。
All in Bits發布了一個源代碼補丁——Gaia v0.34.6,關閉了從區塊高度482100開始的可用代碼路徑。我們建議的升級代碼Git hash是:80234baf91a15dd9a7df8dca38677b66b8d148c1。作為一種POS網絡,我們為這個bug和補丁的合法性進行了代幣抵押,并鼓勵其他熟悉這份報告的人也這么做。
如果被揭露的bug被證明是捏造的或在某種程度上是惡意的,我們敦促Cosmos Hub治理機構通過對這個提議投否決票來削減這些ATOM。我們鼓勵驗證器和所有用戶在區塊482100之前將其節點升級到Gaia v0.34.6。我們請求驗證者在將節點升級到v0.34.6之后對該硬分叉提議投贊成票,以表明網絡已經準備好進行升級。”
截止到目前為止,所有參與信號投票的驗證者都已經表示準備好進行硬分叉(100% Yes),該提案已經獲得通過。
