Mensagem do Gate News, 22 de abril — A investigadora de segurança Doyeon Park divulgou uma vulnerabilidade zero-day crítica com CVSS 7,1 na camada de consenso do CometBFT da Cosmos, que pode fazer com que os nós congelem durante a sincronização de blocos, potencialmente afetando redes que protegem mais de $8 biliões em ativos. A vulnerabilidade não consegue, por si só, furtar fundos.
Park iniciou um processo de divulgação coordenada a 22 de fevereiro, mas encontrou resistência do fornecedor, que solicitou a submissão de uma questão pública no GitHub, recusando a divulgação pública. A 4 de março, a HackerOne marcou o segundo relatório como spam. A 6 de março, o fornecedor desclassificou arbitrariamente uma vulnerabilidade relacionada (CVE-2025-24371) para o nível “informational”, desconsiderando normas internacionais. Park submeteu uma prova de conceito a nível de rede para contrariar esta decisão antes de divulgar publicamente a falha a 21 de abril.
Park recomenda que os validadores da Cosmos evitem reiniciar nós antes de ser disponibilizada uma correção. Os nós que já estiverem em modo de consenso podem continuar a operar, mas reiniciar e entrar em sincronização pode expô-los a ataques de pares maliciosos, potencialmente causando deadlock.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Crypto baleia gigante processa a Coinbase, acusando-a de ter congelado o DAI roubado e depois se recusar a devolvê-lo
De acordo com a The Block a 6 de maio, um influente investidor anónimo em criptomoedas, que foi acusado sob o pseudónimo “DB”, moveu uma ação judicial na segunda-feira contra a Coinbase e contra o alegado ladrão “John Doe”, imputando à Coinbase a recusa em devolver fundos DAI congelados relacionados com um caso de roubo de criptomoedas em 2024, apesar de esta ter apresentado afirmações em declarações juramentadas para provar que era o legítimo proprietário.
MarketWhisper1h atrás
Vítimas de atentados na Coreia do Norte apresentam um pedido para apreender $71M do hack na Aave, reclassificando-o como fraude
Os advogados das vítimas de três casos de terrorismo norte-coreano apresentaram na terça-feira uma resposta de 30 páginas, reconfigurando o hack da Aave de 18 de abril como fraude em vez de furto. A distinção tem relevância jurídica: caracterizar o incidente como fraude poderia dar aos atacantes título legal sobre o emprestado
GateNews1h atrás
Kelp DAO abandona a LayerZero pela Chainlink CCIP após exploit de ponte de 292 milhões de dólares
De acordo com a The Block, a Kelp DAO abandonou o LayerZero pelo protocolo de Interoperabilidade Cross-Chain (CCIP) da Chainlink após o exploit de ponte de 292 milhões de dólares ocorrido no mês passado. Um representante da Chainlink confirmou que a Kelp DAO é o primeiro grande protocolo a migrar para fora do LayerZero desde o ataque. On
GateNews1h atrás
Co-fundador da LayerZero refuta as acusações da KelpDAO, citando uma alteração manual de configuração a 1 de abril de 2024
De acordo com Bryan Pellegrino, cofundador e CEO da LayerZero Labs, a maioria das alegações contra a KelpDAO não tem fundamento. A 6 de maio, Pellegrino afirmou que a Kelp inicialmente utilizou a configuração predefinida MultiDVN ou DeadDVN, mas a alterou manualmente para uma configuração 1/1 a 1 de abril de 2024, segundo dados on-chain
GateNews2h atrás
Vulnerabilidade no código de execução remota do Bitcoin Core, 43% dos nós não foram atualizados
De acordo com a Protos a 5 de maio, os programadores do Bitcoin Core divulgaram no site oficial uma vulnerabilidade crítica CVE-2024-52911. Esta vulnerabilidade permite aos mineradores, através da extração de blocos especialmente preparados, provocar a falha remota de outros nós e executar código sob determinadas condições. Devido ao facto de os nós completos do Bitcoin terem de fazer a atualização de forma voluntária, estima-se ainda que cerca de 43% dos nós estejam a executar software antigo vulnerável.
MarketWhisper4h atrás
