Puntos clave de la noticia
- Vulnerabilidad crítica en protocolo IBC de Cosmos permitía generar tokens infinitos.
- Existía en ibc-go pero se volvió explotable por desarrollos recientes en Cosmos SDK.
- Acción rápida del equipo y colaboración con Asymmetric Research evitó pérdidas de fondos.
La reciente noticia sobre Cosmos reveló una vulnerabilidad crítica en su protocolo de Inter-Blockchain Communication (IBC) que podría haber tenido consecuencias devastadoras para los usuarios y el ecosistema.
Esta vulnerabilidad se encontraba en la implementación de referencia ibc-go y permitía a los atacantes realizar un ataque de reentrancia durante el manejo de mensajes de timeout, lo que potencialmente les habría permitido generar una cantidad infinita de tokens IBC en cadenas conectadas a Cosmos.
El protocolo IBC de Cosmos es fundamental para la comunicación entre blockchains en el ecosistema Cosmos, permitiendo que aplicaciones y protocolos interactúen a través de canales.
Sin embargo, la vulnerabilidad descubierta puso en riesgo al menos 126 millones de dólares en activos, especialmente en plataformas como Osmosis que utilizan el estándar de token intercadenas ICS20.
La explotación de esta vulnerabilidad habría sido posible gracias a desarrollos recientes en el ecosistema Cosmos SDK, específicamente relacionados con CosmWasm y middleware IBC.
Al aprovechar características como los ganchos IBC de CosmWasm, los atacantes podrían haber ejecutado llamadas recursivas para repetidamente desencadenar el proceso de reembolso de tokens ICS20, potencialmente permitiendo el robo de fondos o la generación ilimitada de tokens.
La rápida respuesta de los desarrolladores de Cosmos fue crucial para evitar la explotación maliciosa
Tras la divulgación privada a través del programa de recompensas por errores de HackerOne de Cosmos, se implementó un parche que resolvió el problema y protegió los fondos de los usuarios.
Esta acción destacó la importancia de tener programas de seguridad robustos y la colaboración entre investigadores de seguridad y desarrolladores en el espacio blockchain.
Este incidente resalta los desafíos continuos en la seguridad de los ecosistemas blockchain y subraya la necesidad de medidas proactivas para identificar y mitigar vulnerabilidades en un entorno en constante evolución.
La respuesta rápida y efectiva en este caso ha demostrado la madurez y el compromiso de Cosmos y sus colaboradores en mantener la integridad y seguridad de su red y activos digitales.
