Mensagem do Gate News, 22 de abril — A pesquisadora de segurança Doyeon Park divulgou uma vulnerabilidade zero-day crítica com CVSS 7,1 na camada de consenso do CometBFT da Cosmos que poderia fazer nós congelarem durante a sincronização de blocos, potencialmente afetando redes que protegem mais de $8 bilhão em ativos. A vulnerabilidade não pode roubar fundos diretamente.
Park iniciou um processo de divulgação coordenada em 22 de fevereiro, mas encontrou resistência do fornecedor, que pediu a abertura de uma issue pública no GitHub enquanto recusava a divulgação pública. Em 4 de março, a HackerOne marcou seu segundo relatório como spam. Em 6 de março, o fornecedor rebaixou arbitrariamente uma vulnerabilidade relacionada (CVE-2025-24371) para o nível “informational”, descartando padrões internacionais. Park submeteu uma prova de conceito em nível de rede para contestar essa decisão antes de divulgar publicamente a falha em 21 de abril.
Park recomenda que validadores da Cosmos evitem reiniciar nós antes de um patch ser lançado. Nós que já estiverem no modo de consenso podem continuar operando, mas reiniciar e entrar na sincronização pode expô-los a ataques de pares maliciosos, potencialmente causando deadlock.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
A disputa pela ascensão de detentores após a sentença por ataque da Coreia do Norte: US$ 71 milhões em ativos do Aave congelados, com base na lei de seguros antiterrorismo
Aumenta o ritmo do caso de ataque da Coreia do Norte; US$ 71 milhões em ativos do Aave congelados entram na terceira rodada. Os autores passaram a usar a lei TRIA para sustentar que o ETH é patrimônio estatal da Coreia do Norte, destacando que houve fraude, e não roubo, para contornar a defesa de que o ladrão não tem direito sobre o produto do crime, além de questionar o standing e a posição de governança do Aave. A DeFi United arrecadou mais de US$ 328 milhões; o fundo está suficiente para compensar os usuários afetados. O caso pode se tornar um precedente-chave para a jurisprudência de DeFi e para a governança de DAO.
ChainNewsAbmedia50m atrás
A “cripto baleia” processa a Coinbase, acusando que, após congelar um DAI roubado, a empresa recusou devolvê-lo
De acordo com a The Block em 6 de maio, um magnata anônimo de criptomoedas, conhecido apenas pelo pseudônimo “DB”, processou na segunda-feira a Coinbase e o suposto ladrão “John Doe”, alegando que a Coinbase, mesmo depois de apresentar documentos juramentados para comprovar que é a legítima proprietária, continua se recusando a devolver os fundos de DAI congelados relacionados ao caso de roubo de criptomoedas em 2024.
MarketWhisper2h atrás
Vítimas de terrorismo da Coreia do Norte entram com moção para confiscar $71M do hack na Aave, buscando reclassificar como fraude
Advogados das vítimas de três casos de terrorismo da Coreia do Norte protocolaram, na terça-feira, uma resposta de 30 páginas, reenquadrando o hack do Aave de 18 de abril como fraude em vez de roubo. A distinção tem relevância jurídica: caracterizar o incidente como fraude poderia conceder aos atacantes o direito legal sobre o valor emprestado
GateNews2h atrás
Kelp DAO abandona o LayerZero pela Chainlink CCIP após exploit de ponte de US$ 292 milhões
De acordo com a The Block, a Kelp DAO abandonou a LayerZero pelo Protocolo de Interoperabilidade entre Cadeias (CCIP) da Chainlink após o exploit de ponte de US$ 292 milhões ocorrido no mês passado. Um representante da Chainlink confirmou que a Kelp DAO é o primeiro grande protocolo a migrar para longe da LayerZero desde o ataque. Em
GateNews2h atrás
O cofundador da LayerZero refuta alegações do KelpDAO, citando uma mudança manual de configuração em 1º de abril de 2024
De acordo com Bryan Pellegrino, cofundador e CEO da LayerZero Labs, a maioria das alegações contra a KelpDAO não se sustenta. Em 6 de maio, Pellegrino afirmou que a Kelp inicialmente usou a configuração padrão de MultiDVN ou DeadDVN, mas a alterou manualmente para uma configuração 1/1 em 1º de abril de 2024, conforme on-chain
GateNews3h atrás
