This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Cosmos SDKのセキュリティの欠陥により、DDoS攻撃が可能になる可能性があります
ブロックチェーンセキュリティ企業のOak Securityは、Cosmosチェーンソフトウェア開発キット (SDK) に存在する脆弱性が、ネットワークに対する分散型サービス妨害 (DDoS) 攻撃を引き起こす可能性があることについて懸念を示しています。Mediumの投稿で、同社の研究者であるエドワード・コティッシュとクリスチャン・ヴァリは、これが重大なリスクである理由を説明しました。
研究者によると、この脆弱性はBeginBlockおよびEndBlock関数がガスメーターの対象になっていないという事実にあります。これは設計上のもので、開発者に無料の計算時間を提供するためです。これらの2つの関数は、ユーザーの取引に必ずしも影響を与えるわけではありません。
しかし、セキュリティ専門家は、開発者にとっての小さな余地が、実際にはCosmosベースのネットワークに対していくつかの方法で重大な損害を引き起こす可能性があると警告しました。これには、ネットワークの混雑を引き起こすこと、バリデーターに影響を及ぼすこと、さらには完全な停止につながることが含まれます。
彼らは言った:
「この自由は両刃の剣であり、潜在的な脆弱性のパンドラの箱を開くことができます。主な問題は、ガス制限がないため、BeginBlockとEndBlockの最適化されていないまたは悪意のあるコードが本当に混乱を引き起こす可能性があるということです。」
研究者たちは、脆弱性の潜在的な影響に関する理論を実験によってテストしました。実験の一つでは、さまざまなブロック高で BeginBlock 関数にランダムな遅延を導入し、遅延は5秒から1分の範囲でした。
実験から、専門家たちは遅延がネットワークに大きな混雑を引き起こし、その進行を遅らせ、ブロックを完成させるために必要な時間を増加させることを確認しました。また、いくつかのバリデーターにも影響を与え、彼らの中には必要な時にブロックに署名できなかったり、投票フェーズを完全に欠席したりする者もいました。
驚くべきことではありませんが、取引に署名するために利用可能なバリデーターの数が限られていた(三分の二未満)のため、テストチェーンは一時的な停止を経験しました。研究者たちは、これはメインネット自体での完全な停止を引き起こす可能性があると指摘しました。メインネットでは、同時に複数の取引が行われており、それらを最終化する必要があります。
オークセキュリティは開発者向けの修正を推奨します
その間、セキュリティ専門家は、悪意のある行為者が脆弱性を悪用する前に修正するためのソリューションを推奨しました。彼らによれば、過剰な計算を引き起こす攻撃ベクトルを誰でも単に追加できないように、厳格な計算境界を実装する必要があります。
彼らは、このソリューションを実装するための3つの異なる方法を特定しました。これには、BeginBlockおよびEndBlock関数に時間複雑性を追加して無限に実行されないようにすること、リソース集約型操作をメーター付きコンテキストに保持するためのコンテキストラッピング、および関数へのすべての入力の検証が含まれます。
さらに、彼らは脆弱性がどのように悪用される可能性があるか、そしてその影響の潜在能力を特定するために、より包括的なテストとシミュレーションを求めました。
彼らはまた、ネットワークが標準的な指標に従って運用し、重大な逸脱を検出するための建築上の安全策と運用監視を特定しました。
Cosmos SDKの新しいバージョンが発表されました
一方、Cosmos SDK はセキュリティレポートについてコメントを発表しておらず、問題を解決するために何かを行うかどうかも不明です。これは、特定された脆弱性が実際には設計上の特徴であり、バグやマルウェアではないためかもしれません。最近のサプライチェーン攻撃に関するセキュリティアラートのように。
幸運なことに、Cosmos SDKを使用している開発者は、セキュリティ専門家からの推奨事項のほとんどを実装できるため、展開する内容を制御し、DDoS攻撃に対して脆弱でないことを確保できます。
興味深いことに、Cosmos SDKは最近、バージョンv0.53.0を発表しました。Xでの発表によると、このバージョンは前のバージョンについてビルダーが提起した問題点に対する対応です。
最新バージョンは、未整列トランザクション、コミュニティプールの改善された容量、カスタムガバナンスメカニズム、エポック、およびカスタムミンティングを備えていると報告されています。また、バグ修正も含まれており、開発者はすでにGitHubでアップグレードできます。
Cosmos SDKは、開発者が自分のカスタマイズされたネットワークを簡単に構築し、ブロックチェーンのインターネットを目指すネットワークであるCosmosブロックチェーンと統合するためのツールです。
Cryptopolitan Academy: 2025年にお金を増やしたいですか?私たちの次回のウェブクラスでDeFiを使った方法を学びましょう。スポットを確保してください。