Pengembang Cosmos telah memperbaiki sebuah bug keamanan "kritikal" dalam protokol Inter-Blockchain Communication (IBC) yang mengancam setidaknya $126 juta, kata sebuah perusahaan keamanan blockchain yang memberi tahu Cosmos secara pribadi tentang masalah tersebut.
"Kami secara pribadi melaporkan kerentanan tersebut melalui program Cosmos HackerOne Bug Bounty dan masalahnya sekarang sudah diperbaiki," kata Asymmetric Research menyatakan pada 23 April.
"Tidak ada eksploitasi jahat yang terjadi dan tidak ada dana yang hilang," tambahnya.
Bug tersebut dapat memungkinkan serangan reentrancy yang memungkinkan seorang peretas mencetak token tak terbatas pada rantai yang terhubung dengan IBC seperti Osmosis dan ekosistem keuangan terdesentralisasi lainnya di Cosmos.
"Kami percaya setidaknya $126 juta dalam aset bisa saja dicuri di Osmosis. Namun, pembatasan tingkat kecepatan di Osmosis melambatkan kerusakan yang bisa terjadi."
Pembatasan tingkat kecepatan berfungsi untuk mencegah atau setidaknya memitigasi serangan yang mencoba menghancurkan suatu sistem dengan mengendalikan kecepatan permintaan.
Asymmetric mencatat bahwa bug ini telah ada dalam ibc-go - bahasa pemrograman tingkat tinggi implementasi IBC - sejak diluncurkan pada tahun 2021.
Namun, bug ini baru-baru ini dapat dieksploitasi setelah pengembang Cosmos meluncurkan aplikasi pihak ketiga baru bernama IBC middleware - yang memungkinkan token ICS20 (standar token antar rantai) berpindah antar rantai.
Terkait: Cosmos Hub memberikan lampu hijau pemotongan inflasi ATOM untuk peningkatan keamanan
"Masalah ini menunjukkan seberapa mudahnya merusak asumsi kepercayaan dan memperkenalkan kerentanan baru dengan menambahkan fitur dan fungsionalitas baru. Ini juga merupakan contoh lain dari pentingnya pertahanan dalam kedalaman," tekankan Asymmetric.
"Kerentanan ini menyoroti perlunya penelitian lebih lanjut tentang risiko keamanan antar rantai untuk melindungi ekosistem multirantai dengan lebih baik."
Bug tersebut diperbaiki oleh pengembang Cosmos Carlos Rodriguez sekitar tiga minggu yang lalu, menunjukkan sebuah komitmen GitHub menunjukkan.
Kerentanan keamanan "kritikal" lainnya teridentifikasi dalam protokol IBC pada Oktober 2022, yang mempengaruhi semua rantai yang terhubung dengan IBC tetapi sudah diperbaiki sebelum ada potensi eksploitasi.
Majalah: Apakah DAO terlalu dibesar-besarkan dan tidak dapat dijalankan? Pelajaran dari garis depan
