Desarrolladores de Cosmos han corregido un error de seguridad "crítico" en su protocolo Inter-Blockchain Communication (IBC), que puso en riesgo al menos USD 126 millones, según una firma de seguridad blockchain que notificó privadamente a Cosmos del problema.
"Divulgamos privadamente la vulnerabilidad a través del programa de recompensas por errores de Cosmos HackerOne y el problema ahora está solucionado", dijo Asymmetric Research el 23 de abril.
"No se produjo ningún exploit malicioso y no se perdieron fondos", agregó.
El error podría haber permitido un ataque de reentrada que permitiría a un hacker crear tokens infinitos en cadenas conectadas a IBC como Osmosis y otros ecosistemas de finanzas descentralizadas en Cosmos.
“Creemos que se podrían haber robado al menos USD 126 millones en activos en Osmosis. Sin embargo, la limitación de velocidad en Osmosis ralentiza el daño que podría causarse”.
Los límites de velocidad sirven para prevenir o al menos mitigar los ataques que intentan abrumar un sistema controlando la velocidad a la que se realizan las solicitudes.
Asymmetric señaló que el error ha existido en ibc-go, una implementación del lenguaje de programación de alto nivel de IBC, desde su lanzamiento en 2021.
El error solo se volvió aprovechable recientemente, sin embargo, luego de que los desarrolladores de Cosmos lanzaron una nueva aplicación de terceros llamada middleware de IBC, que permite que los tokens ICS20 (estándar de tokens entre cadenas) se muevan en otras cadenas.
“Este problema demuestra lo fácil que es romper las suposiciones de confianza e introducir nuevas vulnerabilidades agregando nuevas características y funcionalidades. También es otro ejemplo de la importancia de la defensa en profundidad”, enfatizó Asymmetric.
“Esta vulnerabilidad resalta la necesidad crítica de realizar más investigaciones sobre los riesgos de seguridad cross-chain para proteger mejor el ecosistema multicadena".
El error fue corregido por el desarrollador de Cosmos, Carlos Rodríguez, hace aproximadamente tres semanas, según muestra un compromiso en GitHub.
Otra vulnerabilidad de seguridad "crítica" fue identificada en el protocolo IBC en octubre de 2022, que afectó a todas las cadenas conectadas a IBC pero fue parcheada antes de cualquier posible exploit.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.