Kritischer Sicherheitsfehler im Cosmos-Blockchain-System rechtzeitig behoben

Entwickler der Cosmos-Blockchain haben eine schwere Sicherheitslücke in ihrem Inter-Blockchain Communication (IBC)-Protokoll behoben, die potenziell 126 Millionen Dollar an digitalen Vermögenswerten gefährdet hätte, laut einem Bericht eines Blockchain-Sicherheitsunternehmens.

Die Lücke, die von Asymmetrische Research über das Cosmos HackerOne Bug Bounty-Programm privat gemeldet wurde, ist mittlerweile behoben worden.

Schwachstelle konnte zu Re-Entrancy-Angriff führen

Das Sicherheitsunternehmen bestätigte am 23. April, dass die Schwachstelle zu einem sogenannten Re-Entrancy-Angriff führen konnte, bei dem ein Hacker unendlich viele Tokens auf mit IBC verbundenen Blockchains wie Osmosis und anderen dezentralen Finanzökosystemen innerhalb von Cosmos hätte generieren können. Asymmetrische Research erklärte: „Wir glauben, dass mindestens 126 Millionen Dollar an Vermögenswerten auf Osmosis hätten gestohlen werden können, aber die Geschwindigkeitsbegrenzungen haben wahrscheinlich Schlimmeres verhindert.“

Geschwindigkeitsbegrenzungen sind technische Maßnahmen, die darauf abzielen, die Anzahl der Anfragen, die pro Zeiteinheit verarbeitet werden können, zu begrenzen und dadurch Schäden durch Cyberangriffe zu minimieren.

Fehler bestand seit dem Start von ibc-go

Laut dem Bericht existierte der Fehler seit dem Start von ibc-go, der Programmiersprachenimplementierung von IBC, im Jahr 2021. Das Problem wurde erst nach der kürzlichen Implementierung neuer Software namens IBC-Middleware offensichtlich, die das Überqueren von ICS20-Tokens (Interchain-Token-Standard) zwischen Ketten ermöglicht.

„Dieser Vorfall zeigt, wie leicht es ist, Sicherheitsannahmen zu verletzen und neue Schwachstellen mit der Hinzufügung neuer Funktionen einzuführen“, betonte ADSL, eine weitere Sicherheitsorganisation. „Es unterstreicht auch die Bedeutung einer tiefgreifenden Verteidigung und die Notwendigkeit weiterer Forschung zu den Sicherheitsrisiken von Cross-Chain-Technologien.“

Der Bug wurde vor etwa drei Wochen von Cosmos-Entwickler Carlos Rodriguez behoben, wie aus einem GitHub-Commit hervorgeht. Ein weiteres „kritisches“ Sicherheitsproblem innerhalb desselben IBC-Protokolls wurde im Oktober 2022 identifiziert, aber auch gepatcht, bevor es ausgenutzt werden konnte.