La société de sécurité Blockchain Oak Security a exprimé des inquiétudes concernant une vulnérabilité dans le kit de développement logiciel de la chaîne Cosmos (SDK) qui pourrait conduire à une attaque par Déni de Service Distribué (DDoS) sur le réseau. Dans un post sur Medium, deux des chercheurs de la société, Edward Kotysh et Christian Vari, ont expliqué pourquoi cela représente un risque majeur.
Selon les chercheurs, la vulnérabilité réside dans le fait que les fonctions BeginBlock et EndBlock ne sont pas soumises à la mesure de gaz. C'est intentionnel, car cela permet aux développeurs de disposer d'un certain temps de calcul gratuit, ces deux fonctions n'affectant pas nécessairement les transactions des utilisateurs.
Cependant, les experts en sécurité ont averti que ce qui était censé être une marge de manœuvre mineure pour les développeurs pourrait en réalité causer des dommages significatifs aux réseaux basés sur Cosmos de plusieurs manières. Cela inclut provoquer une congestion du réseau, affecter les validateurs ou même entraîner une panne complète.
Ils ont dit :
« Cette liberté peut être une arme à double tranchant, et elle peut ouvrir une boîte de Pandore de potentielles vulnérabilités. Le principal problème est que sans limites de gaz, un code mal optimisé ou malveillant dans BeginBlock et EndBlock peut vraiment causer des ravages. »
Les chercheurs ont testé leurs théories sur l'impact potentiel de la vulnérabilité en menant des expériences. Dans l'une des expériences, ils ont introduit des délais aléatoires dans la fonction BeginBlock à différentes hauteurs de bloc, avec des délais variant de cinq secondes à une minute.
À partir des expériences, les experts ont confirmé que les retards ont entraîné une congestion substantielle du réseau, ralentissant sa progression et augmentant le temps nécessaire pour terminer les blocs. Cela a également affecté les validateurs, plusieurs d’entre eux n’ayant pas signé les blocs aux moments requis et certains manquant complètement les phases de vote.
Sans surprise, le nombre limité de validateurs disponibles pour signer les transactions (inférieur à deux tiers) a signifié que la chaîne de test a connu des pannes temporaires. Les chercheurs ont noté que cela pourrait entraîner une panne complète sur le mainnet lui-même, où plusieurs transactions se déroulent simultanément et doivent être finalisées.
Oak Security recommande des correctifs pour les développeurs
Parallèlement, les experts en sécurité ont recommandé des solutions pour corriger la vulnérabilité avant qu'un acteur malveillant ne l'exploite. Selon eux, il est nécessaire de mettre en œuvre des limites de calcul strictes afin que même personne ne puisse simplement ajouter un vecteur d'attaque qui entraînerait des calculs excessifs.
Ils ont identifié trois façons différentes de mettre en œuvre cette solution. Celles-ci incluent l'ajout de complexité temporelle aux fonctions BeginBlock et EndBlock afin qu'elles ne s'exécutent pas indéfiniment, l'encapsulation de contexte pour garder les opérations gourmandes en ressources dans des contextes mesurés, et la validation de toutes les entrées de la fonction.
De plus, ils ont appelé à des tests et simulations plus complets pour déterminer comment la vulnérabilité pourrait être exploitée et le potentiel de son impact.
Ils ont également identifié des mesures de protection architecturales et un suivi opérationnel pour garantir que les réseaux fonctionnent selon des critères standard et détectent toute déviation significative.
Cosmos SDK lance une nouvelle version
En attendant, le SDK Cosmos n'a pas encore commenté le rapport de sécurité et s'il fera quelque chose pour résoudre le problème de leur côté. Cela pourrait être dû au fait que la vulnérabilité identifiée est en réalité une caractéristique de conception et non un bogue ou un logiciel malveillant, comme les alertes de sécurité récentes sur les attaques de la chaîne d'approvisionnement.
Heureusement, les développeurs utilisant le Cosmos SDK peuvent mettre en œuvre la plupart des recommandations des experts en sécurité, leur permettant de contrôler ce qu'ils déploient et de s'assurer que cela n'est pas vulnérable aux attaques DDoS.
Il est intéressant de noter que Cosmos SDK a récemment lancé sa version v0.53.0. Selon l'annonce sur X, cette version répond aux points de douleur que les développeurs ont soulevés concernant la version précédente.
La dernière version viendrait avec des transactions non ordonnées, des capacités améliorées pour les pools communautaires, des mécanismes de gouvernance personnalisés, des époques et un minting personnalisé. Elle comprend également des corrections de bugs, et les développeurs peuvent déjà s'y mettre à jour sur GitHub.
Cosmos SDK est un outil pour les développeurs afin de construire facilement leur propre réseau personnalisé et de s'intégrer à la blockchain Cosmos, un réseau cherchant à devenir l'Internet des Blockchains.
Académie Cryptopolitan : Vous voulez faire fructifier votre argent en 2025 ? Apprenez comment le faire avec DeFi lors de notre prochaine classe en ligne. Réservez votre place.
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
La faille de sécurité dans Cosmos SDK pourrait permettre des attaques DDoS
La société de sécurité Blockchain Oak Security a exprimé des inquiétudes concernant une vulnérabilité dans le kit de développement logiciel de la chaîne Cosmos (SDK) qui pourrait conduire à une attaque par Déni de Service Distribué (DDoS) sur le réseau. Dans un post sur Medium, deux des chercheurs de la société, Edward Kotysh et Christian Vari, ont expliqué pourquoi cela représente un risque majeur.
Selon les chercheurs, la vulnérabilité réside dans le fait que les fonctions BeginBlock et EndBlock ne sont pas soumises à la mesure de gaz. C'est intentionnel, car cela permet aux développeurs de disposer d'un certain temps de calcul gratuit, ces deux fonctions n'affectant pas nécessairement les transactions des utilisateurs.
Cependant, les experts en sécurité ont averti que ce qui était censé être une marge de manœuvre mineure pour les développeurs pourrait en réalité causer des dommages significatifs aux réseaux basés sur Cosmos de plusieurs manières. Cela inclut provoquer une congestion du réseau, affecter les validateurs ou même entraîner une panne complète.
Ils ont dit :
« Cette liberté peut être une arme à double tranchant, et elle peut ouvrir une boîte de Pandore de potentielles vulnérabilités. Le principal problème est que sans limites de gaz, un code mal optimisé ou malveillant dans BeginBlock et EndBlock peut vraiment causer des ravages. »
Les chercheurs ont testé leurs théories sur l'impact potentiel de la vulnérabilité en menant des expériences. Dans l'une des expériences, ils ont introduit des délais aléatoires dans la fonction BeginBlock à différentes hauteurs de bloc, avec des délais variant de cinq secondes à une minute.
À partir des expériences, les experts ont confirmé que les retards ont entraîné une congestion substantielle du réseau, ralentissant sa progression et augmentant le temps nécessaire pour terminer les blocs. Cela a également affecté les validateurs, plusieurs d’entre eux n’ayant pas signé les blocs aux moments requis et certains manquant complètement les phases de vote.
Sans surprise, le nombre limité de validateurs disponibles pour signer les transactions (inférieur à deux tiers) a signifié que la chaîne de test a connu des pannes temporaires. Les chercheurs ont noté que cela pourrait entraîner une panne complète sur le mainnet lui-même, où plusieurs transactions se déroulent simultanément et doivent être finalisées.
Oak Security recommande des correctifs pour les développeurs
Parallèlement, les experts en sécurité ont recommandé des solutions pour corriger la vulnérabilité avant qu'un acteur malveillant ne l'exploite. Selon eux, il est nécessaire de mettre en œuvre des limites de calcul strictes afin que même personne ne puisse simplement ajouter un vecteur d'attaque qui entraînerait des calculs excessifs.
Ils ont identifié trois façons différentes de mettre en œuvre cette solution. Celles-ci incluent l'ajout de complexité temporelle aux fonctions BeginBlock et EndBlock afin qu'elles ne s'exécutent pas indéfiniment, l'encapsulation de contexte pour garder les opérations gourmandes en ressources dans des contextes mesurés, et la validation de toutes les entrées de la fonction.
De plus, ils ont appelé à des tests et simulations plus complets pour déterminer comment la vulnérabilité pourrait être exploitée et le potentiel de son impact.
Ils ont également identifié des mesures de protection architecturales et un suivi opérationnel pour garantir que les réseaux fonctionnent selon des critères standard et détectent toute déviation significative.
Cosmos SDK lance une nouvelle version
En attendant, le SDK Cosmos n'a pas encore commenté le rapport de sécurité et s'il fera quelque chose pour résoudre le problème de leur côté. Cela pourrait être dû au fait que la vulnérabilité identifiée est en réalité une caractéristique de conception et non un bogue ou un logiciel malveillant, comme les alertes de sécurité récentes sur les attaques de la chaîne d'approvisionnement.
Heureusement, les développeurs utilisant le Cosmos SDK peuvent mettre en œuvre la plupart des recommandations des experts en sécurité, leur permettant de contrôler ce qu'ils déploient et de s'assurer que cela n'est pas vulnérable aux attaques DDoS.
Il est intéressant de noter que Cosmos SDK a récemment lancé sa version v0.53.0. Selon l'annonce sur X, cette version répond aux points de douleur que les développeurs ont soulevés concernant la version précédente.
La dernière version viendrait avec des transactions non ordonnées, des capacités améliorées pour les pools communautaires, des mécanismes de gouvernance personnalisés, des époques et un minting personnalisé. Elle comprend également des corrections de bugs, et les développeurs peuvent déjà s'y mettre à jour sur GitHub.
Cosmos SDK est un outil pour les développeurs afin de construire facilement leur propre réseau personnalisé et de s'intégrer à la blockchain Cosmos, un réseau cherchant à devenir l'Internet des Blockchains.
Académie Cryptopolitan : Vous voulez faire fructifier votre argent en 2025 ? Apprenez comment le faire avec DeFi lors de notre prochaine classe en ligne. Réservez votre place.