今日，一位用戶@Jessysaurusrex在Cosmos官方論壇上表示，兩天前，CosmosSDK中的一個(gè)重要安全漏洞通過(guò)security@tendermint com被報(bào)告給了Ten

今日，一位用戶@Jessysaurusrex在Cosmos官方論壇上表示，兩天前，CosmosSDK中的一個(gè)重要安全漏洞通過(guò)security@tendermint.com被報(bào)告給了Tendermint團(tuán)隊(duì)。她還表示，CosmosSDK v0.34.6版本(已發(fā)布)將添加一個(gè)針對(duì)這個(gè)漏洞的補(bǔ)丁，并將在7-10個(gè)工作日內(nèi)提供關(guān)于這個(gè)漏洞的技術(shù)細(xì)節(jié)，以便能夠有一個(gè)合理的時(shí)間來(lái)加固網(wǎng)絡(luò)系統(tǒng)。

為了應(yīng)對(duì)這個(gè)問(wèn)題，我們目前正在協(xié)調(diào)一個(gè)硬分叉來(lái)升級(jí)Cosmos主網(wǎng)，并且我們正在與網(wǎng)絡(luò)驗(yàn)證者(validators)進(jìn)行接觸，以確保它們能夠在區(qū)塊高度482100處進(jìn)行的網(wǎng)絡(luò)分叉期間進(jìn)行響應(yīng)。截止到目前，該硬分叉提案已經(jīng)獲得一致通過(guò)。

如果您是Cosmos全節(jié)點(diǎn)的服務(wù)提供者，建議您立即升級(jí)到CosmosSDK的最新、最安全的版本。

由于這個(gè)問(wèn)題的嚴(yán)重性，我們已經(jīng)向可能受到影響的組織提供了早期通知，以便在CosmosSDK的0.34.6版本可用時(shí)(目前已發(fā)布)，系統(tǒng)可以為升級(jí)做好準(zhǔn)備。

不過(guò)，需要指出的是，官方團(tuán)隊(duì)表示，該漏洞不能被用來(lái)生成新的ATOM代幣，也不能被用來(lái)竊取其他人的ATOM代幣。

此后，Cosmos核心開發(fā)者Sunny Aggarwal發(fā)布聲明表示，我們已經(jīng)在Cosmos Hub上創(chuàng)建了一個(gè)提案，以便在驗(yàn)證器成功升級(jí)節(jié)點(diǎn)時(shí)發(fā)出信號(hào)，以判斷網(wǎng)絡(luò)是否準(zhǔn)備好接受這次硬分叉。

“正如用戶@Jessysaurusrex在Cosmos論壇上所描述的，All in Bits已經(jīng)了解到Cosmos Hub的代碼庫(kù)存在一個(gè)關(guān)鍵的安全漏洞。我們認(rèn)為這個(gè)問(wèn)題是非常嚴(yán)重的，似乎可以利用這個(gè)漏洞降低區(qū)塊鏈的PoS系統(tǒng)的安全模型。這種漏洞不會(huì)導(dǎo)致ATOM被盜或憑空產(chǎn)生ATOM。

All in Bits發(fā)布了一個(gè)源代碼補(bǔ)丁——Gaia v0.34.6，關(guān)閉了從區(qū)塊高度482100開始的可用代碼路徑。我們建議的升級(jí)代碼Git hash是：80234baf91a15dd9a7df8dca38677b66b8d148c1。作為一種POS網(wǎng)絡(luò)，我們?yōu)檫@個(gè)bug和補(bǔ)丁的合法性進(jìn)行了代幣抵押，并鼓勵(lì)其他熟悉這份報(bào)告的人也這么做。

如果被揭露的bug被證明是捏造的或在某種程度上是惡意的，我們敦促Cosmos Hub治理機(jī)構(gòu)通過(guò)對(duì)這個(gè)提議投否決票來(lái)削減這些ATOM。我們鼓勵(lì)驗(yàn)證器和所有用戶在區(qū)塊482100之前將其節(jié)點(diǎn)升級(jí)到Gaia v0.34.6。我們請(qǐng)求驗(yàn)證者在將節(jié)點(diǎn)升級(jí)到v0.34.6之后對(duì)該硬分叉提議投贊成票，以表明網(wǎng)絡(luò)已經(jīng)準(zhǔn)備好進(jìn)行升級(jí)。”

截止到目前為止，所有參與信號(hào)投票的驗(yàn)證者都已經(jīng)表示準(zhǔn)備好進(jìn)行硬分叉(100% Yes)，該提案已經(jīng)獲得通過(guò)。

關(guān)鍵詞： Cosmos Hub代碼庫(kù) 區(qū)塊鏈