COSMOS SDK中的安全漏洞可能允许DDOS攻击

区块链安全公司Oak Security引起了人们对Cosmos链软件开发套件（SDK）中漏洞的担忧，该案例可能导致分布式拒绝服务（DDOS）对网络的攻击。在一个中型职位中，两位公司研究人员爱德华·科蒂（Edward Kotysh）和克里斯蒂安·瓦里（Christian Vari）解释了为什么这是一个主要风险。

根据研究人员，脆弱性在于一个事实，即开始屏蔽和端块功能不受气体计量的约束。这是通过设计的，因为它使开发人员能够有一些免费的计算时间，因为这两个功能不一定会影响用户交易。

但是，安全专家警告说，对于开发人员来说，这本来可以造成的小余地实际上可能会以多种方式对基于宇宙的网络造成重大损害。这些包括引起网络拥塞，影响验证器，甚至导致完全停电。

他们说：

“这种自由可以是一把双刃剑，它可以打开一个潜在脆弱性的潘多拉盒子。主要问题是，如果没有气体限制，在BeginBlock和Endblock中没有限制，并且在BeginBlock和Endblock中确实会造成破坏。”

研究人员通过进行实验测试了他们的理论对脆弱性的潜在影响。在其中一个实验中，他们将随机延迟引入了各种块高度的Beginblock函数，延迟范围从五秒到一分钟不等。

从实验中，专家证实，这些延迟导致网络中的大量拥堵，减缓其进展并增加完成块所需的时间。它还影响了验证者，其中一些未能在所需的时间签名，有些人完全缺少投票阶段。

毫不奇怪，可用于签署交易的有限数量（少于三分之二）意味着测试链经历了临时停电。研究人员指出，这可能会导致主网本身的完整中断，那里有几笔交易需要立即完成。

橡木安全建议开发人员修复

同时，安全专家推荐解决方案，以在不好的演员利用它之前修复漏洞。据他们说，有必要实施严格的计算范围，以便甚至任何人都不能简单地添加任何会导致过度计算的攻击向量。

他们确定了实施该解决方案的三种不同方法。其中包括将时间复杂性添加到Beginblock和EndBlock函数中，因此它们不会无限期地运行，上下文包装以将资源密集型操作保存到计量上下文中，并将所有输入验证到该功能。

此外，他们呼吁进行更全面的测试和模拟，以确定如何利用脆弱性及其影响的潜力。

他们还确定了建筑保障措施和操作监控，以确保网络通过标准指标运行并检测任何明显的偏差。

宇宙SDK启动新版本

同时，Cosmos SDK尚未对安全报告以及是否将采取任何措施解决问题的目的。这可能是因为确定的漏洞实际上是一项设计功能，而不是错误或恶意软件，例如最近的供应链攻击的安全警报。

幸运的是，使用Cosmos SDK的开发人员可以从安全专家那里实施大多数建议，从而使他们能够控制其部署的内容，并确保它不容易受到DDOS攻击的影响。

有趣的是，Cosmos SDK最近启动了其版本v0.53.0。根据X上的公告，该版本是对建筑商对先前版本提出的痛点的响应。

据报道，最新版本的交易，社区池的能力提高，定制治理机制，时代和定制铸造。它还带有错误修复程序，开发人员已经可以在GitHub上升级到它。

Cosmos SDK是开发人员轻松构建自己的自定义网络并与Cosmos区块链集成的工具，该网络试图成为区块链的互联网。

加密大都会学院：想在2025年养活您的钱吗？在即将到来的WebClass中学习如何使用Defi进行操作。保存您的位置