Cosmos 网络(加密货币生态系统的重要基础设施组件)中发现了一个严重的安全漏洞。
安全研究员朴度妍公开披露了她在 CometBFT 中发现的一个“0day”漏洞,CometBFT 被用于 Cosmos (ATOM) 的共识层。
根据 Park 分享的信息,该漏洞的 CVSS 评级为 7.1(高危),可能导致 Cosmos 生态系统中的节点在区块同步过程中被锁定。虽然这不会直接导致资产被盗,但它被认为是一个潜在风险,可能会对一个保护超过 80 亿美元资产的网络造成严重的运营中断。
研究人员表示,他们遵循了协调漏洞披露(CVD)流程,该流程通常要求负责任地披露漏洞,但由于沟通问题以及与相关开发团队缺乏合作,他们决定公开他们的发现。Park补充说,在此过程中可能出现的任何安全风险,都应由开发人员承担。
公告发布后,Cosmos 还发布了一份针对验证节点的“生存指南”。该指南建议节点运营者在漏洞修复前尽可能避免重启系统。这是因为该漏洞主要在区块同步阶段被触发。虽然目前处于共识模式的节点可以继续正常运行,但重启后的节点如果遇到恶意节点,可能会被锁定且无法重新加入网络。
Park还就此次披露的背景提出了值得注意的说法。据这位研究人员称,开发团队辩称该漏洞无法利用,并要求将报告公开在GitHub上,但拒绝提供详细解释。Park随后表示,他提供了一个网络级的“概念验证”(PoC),证明该漏洞确实可以被利用,但之后再也没有收到任何反馈。
另一方面,也有人声称,此前被认为具有相同影响的漏洞 CVE-2025-24371 被开发团队重新归类为“轻微”漏洞。Park 认为这违反了 MITRE 和 FIRST 制定的国际标准。
该研究人员还声称,他们曾通过 HackerOne 报告过一个更严重的漏洞,但未经技术审核就被标记为“垃圾信息”。Park 指出,其他参与 Cosmos 漏洞赏金计划的研究人员也提出过类似的问题。
*本文不构成投资建议。