Разработчики Cosmos исправили “критическую” ошибку безопасности в своем протоколе межблочной связи (IBC), которая подвергла риску по меньшей мере 126 миллионов долларов, сообщает блокчейн-компания, которая в частном порядке уведомила Cosmos о проблеме.
“Мы конфиденциально раскрыли уязвимость через программу вознаграждения за ошибки Cosmos HackerOne, и теперь проблема исправлена”, – сообщили в Asymmetric Research 23 апреля.
“Никакого злонамеренного использования не было, и никакие средства не были потеряны”, – добавлено в нем.
Источник: Асимметричное исследование
Ошибка могла привести к повторной атаке, позволяющей хакеру чеканить бесконечные токены в цепочках, связанных с IBC, таких как Osmosis и другие децентрализованные финансовые экосистемы Cosmos.
Майнинг-оборудование можно разделить на несколько типов в зависимости от технологий и назначения. ASIC-майнеры — это устройства, предназначенные для добычи конкретных криптовалют, как Bitcoin, с высокой производительностью и низким энергопотреблением. Однако, они ограничены в универсальности и быстро устаревают.
GPU-фермы используют видеокарты для майнинга криптовалют с параллельной обработкой данных, таких как Ethereum. Это более универсальное оборудование, которое можно адаптировать под различные криптовалюты, но оно требует больших затрат на энергию и сложной настройки.
“Мы считаем, что при использовании Osmosis могло быть украдено активов на сумму не менее 126 миллионов долларов. Однако ограничение скорости при использовании Osmosis снижает ущерб, который мог быть причинен”.
Ограничения скорости служат для предотвращения или, по крайней мере, смягчения атак, которые пытаются перегрузить систему, контролируя скорость отправки запросов.
Асимметричный отметил, что ошибка существовала в ibc-go – высокоуровневой реализации языка программирования IBC – с момента его запуска в 2021 году.
Однако эту ошибку можно было использовать только недавно, после того, как разработчики Cosmos запустили новое стороннее приложение под названием IBC middleware, которое позволяет токенам ICS20 (interchain token standard) пересекать цепочки.
“Эта проблема демонстрирует, насколько легко нарушить предположения о доверии и внедрить новые уязвимости путем добавления новых функций. Это также еще один пример важности углубленной защиты”, – подчеркнул Асимметричный.
“Эта уязвимость подчеркивает острую необходимость дополнительных исследований межцепочечных рисков безопасности для лучшей защиты мультицепочечной экосистемы”.
Ошибка была исправлена разработчиком Cosmos Карлосом Родригесом около трех недель назад, как следует из коммита на GitHub.
В октябре 2022 года в протоколе IBC была выявлена еще одна “критическая” уязвимость системы безопасности, которая повлияла на все цепочки, подключенные к IBC, но была исправлена до появления любого потенциального эксплойта.
CPU-майнинг использует мощности процессоров для добычи криптовалют, устойчивых к ASIC, например, Monero. Такой способ подходит для новичков, но имеет низкую производительность и приводит к быстрому износу процессора.
HDD/SSD-майнинг использует жёсткие диски или твердотельные накопители для добычи криптовалют с алгоритмом Proof-of-Space (например, Chia). Это более энергоэффективное решение, но с ограниченным выбором криптовалют и быстрым износом накопителей.
