Las vulnerabilidades de día cero son descubrimientos críticos que pueden dejar expuestos sitios web, aplicaciones y protocolos a tomas de control. Recientemente, hubo ataques a Drift y Kelp DAO, y ahora todas las miradas están puestas en el ecosistema de la blockchain Cosmos debido a una amenaza recientemente revelada.
Fallo importante identificado en Cosmos (ATOM)
La vulnerabilidad fue revelada por el investigador de seguridad p6rkdoye0n y podría causar congelamientos de nodos durante la sincronización de bloques en la red Cosmos, que asegura más de 8 mil millones de dólares en activos. Aunque el problema tiene una calificación de gravedad CVSS de 7.1 (Alta), no pone en peligro directamente los activos digitales de la manera en que lo hicieron los exploits de Drift o Kelp DAO. El fallo perturba principalmente el funcionamiento del sistema en lugar de comprometer los fondos.
El especialista en ciberseguridad que descubrió el problema declaró que decidió hacerse público después de que sus preocupaciones no fueran tomadas en serio por las partes relevantes.
“Hice todo lo posible por seguir el procedimiento de Divulgación Coordinada de Vulnerabilidades (CVD) para la seguridad del ecosistema. Sin embargo, debido a la falta de cooperación y decisiones irresponsables por parte de los proveedores, decidí divulgar la vulnerabilidad.
Esta acción se lleva a cabo de acuerdo con la decisión final del proveedor. Todos los riesgos de seguridad resultantes son completamente responsabilidad del proveedor. Por esta razón, estoy compartiendo detalles sobre tanto su enfoque irresponsable como los pormenores de la vulnerabilidad aquí.
Hasta que se publique un parche, se aconseja encarecidamente a los operadores de validadores en el ecosistema Cosmos evitar reiniciar sus nodos si es posible. La vulnerabilidad se activa durante la fase de sincronización de bloques.
Los nodos que actualmente están en modo de consenso pueden continuar operando normalmente. Sin embargo, si se reinician y comienzan la sincronización de bloques, la exposición a un par malicioso podría bloquearlos, haciendo imposible que el nodo se reincorpore a la red.”
Respuesta de Cosmos y riesgos en curso
El investigador también señaló que se había reportado una vulnerabilidad más grave a través de HackerOne, pero esta también fue desestimada por los responsables. Esto plantea más preguntas sobre la capacidad de respuesta y diligencia de los procesos de seguridad del ecosistema Cosmos.
El informe inicial del error fue presentado el 22 de febrero, y al día siguiente, el equipo de Cosmos respondió afirmando que el ataque no era factible. Un segundo informe fue presentado el 4 de marzo, pero esta vez fue marcado como spam. Durante más de un mes, p6rkdoye0n ha intentado advertir sobre varias debilidades, recibiendo poca atención. Por el momento, el investigador ha optado por no publicar públicamente el código del exploit. Aunque el precio de Cosmos (ATOM) ha bajado a $1.77, no ha ocurrido un rápido colapso del precio hasta ahora.
Impacto potencial en el ecosistema blockchain
La vulnerabilidad recientemente descubierta se destaca no porque permita el robo directo, sino debido a su potencial para interrumpir el funcionamiento confiable de un protocolo de blockchain que salvaguarda miles de millones de dólares. En ecosistemas complejos, incluso los errores operativos pueden tener efectos en cascada y sacudir la confianza de los participantes de la red.
Después de incidentes de alto perfil con Drift y Kelp DAO, la comunidad Cosmos ahora enfrenta un escrutinio aumentado. Expertos de la industria enfatizan que los problemas que comprometen la vivacidad y el consenso, incluso sin un ataque directo a los activos, pueden tener ramificaciones sistémicas.
Dada la puntuación de gravedad CVSS y la naturaleza del error, los observadores de la industria esperan una respuesta urgente por parte del equipo de Cosmos. Mientras tanto, los miembros de la comunidad están monitoreando de cerca la situación, ya que los problemas operativos pueden influir indirectamente en los valores de los activos y la confianza de los usuarios.
Este incidente también destaca los desafíos persistentes con la divulgación coordinada de vulnerabilidades en la industria blockchain. Los investigadores de seguridad a menudo expresan preocupaciones sobre la falta de acción y transparencia de los equipos de proyecto, posiblemente dejando problemas críticos sin tratar durante períodos extendidos.
Muchos en el sector de blockchain ahora están instando a mejorar los protocolos de comunicación y un compromiso más receptivo de los equipos de desarrollo central cuando se plantean vulnerabilidades serias. La confianza en la salud a largo plazo de $ATOM y el ecosistema más amplio de Cosmos puede depender de tales medidas.
A medida que Cosmos se mueve para abordar la amenaza recién divulgada, se aconseja a los desarrolladores y validadores ejercer precaución, evitar reinicios innecesarios y esperar actualizaciones o parches adicionales para garantizar la estabilidad continua de la red.
