COSMOS SDK中的安全漏洞可能允許DDOS攻擊

根據研究人員，脆弱性在於一個事實，即開始屏蔽和端塊功能不受氣體計量的約束。 這是通過設計的，因為它使開發人員能夠有一些免費的計算時間，因為這兩個功能不一定會影響用戶交易。

但是，安全專家警告說，對於開發人員來說，這本來可以造成的小余地實際上可能會以多種方式對基於宇宙的網絡造成重大損害。 這些包括引起網絡擁塞，影響驗證器，甚至導致完全停電。

他們說：

“這種自由可以是一把雙刃劍，它可以打開一個潛在脆弱性的潘多拉盒子。主要問題是，如果沒有氣體限制，在BeginBlock和Endblock中沒有限制，並且在BeginBlock和Endblock中確實會造成破壞。”

研究人員通過進行實驗測試了他們的理論對脆弱性的潛在影響。 在其中一個實驗中，他們將隨機延遲引入了各種塊高度的Beginblock函數，延遲範圍從五秒到一分鐘不等。

從實驗中，專家證實，這些延遲導致網絡中的大量擁堵，減緩其進展並增加完成塊所需的時間。 它還影響了驗證者，其中一些未能在所需的時間簽名，有些人完全缺少投票階段。

毫不奇怪，可用於簽署交易的有限數量（少於三分之二）意味著測試鏈經歷了臨時停電。 研究人員指出，這可能會導致主網本身的完整中斷，那裡有幾筆交易需要立即完成。

橡木安全建議開發人員修復

同時，安全專家推薦解決方案，以在不好的演員利用它之前修復漏洞。 據他們說，有必要實施嚴格的計算範圍，以便甚至任何人都不能簡單地添加任何會導致過度計算的攻擊向量。

他們確定了實施該解決方案的三種不同方法。 其中包括將時間複雜性添加到Beginblock和EndBlock函數中，因此它們不會無限期地運行，上下文包裝以將資源密集型操作保存到計量上下文中，並將所有輸入驗證到該功能。

此外，他們呼籲進行更全面的測試和模擬，以確定如何利用脆弱性及其影響的潛力。

他們還確定了建築保障措施和操作監控，以確保網絡通過標準指標運行並檢測任何明顯的偏差。

宇宙SDK啟動新版本

同時，Cosmos SDK尚未對安全報告以及是否將採取任何措施解決問題的目的。 這可能是因為確定的漏洞實際上是一項設計功能，而不是錯誤或惡意軟件，例如最近的供應鏈攻擊的安全警報。

幸運的是，使用Cosmos SDK的開發人員可以從安全專家那裡實施大多數建議，從而使他們能夠控制其部署的內容，並確保它不容易受到DDOS攻擊的影響。

有趣的是，Cosmos SDK最近啟動了其版本v0.53.0。 根據X上的公告，該版本是對建築商對先前版本提出的痛點的響應。

據報導，最新版本的交易，社區池的能力提高，定制治理機制，時代和定制鑄造。 它還帶有錯誤修復程序，開發人員已經可以在GitHub上升級到它。

Cosmos SDK是開發人員輕鬆構建自己的自定義網絡並與Cosmos區塊鏈集成的工具，該網絡試圖成為區塊鏈的互聯網。

加密大都會學院：想在2025年養活您的錢嗎？ 在即將到來的WebClass中學習如何使用defi進行操作。 保存您的位置