Cosmos SDK存在安全漏洞或引发DDOS攻击风险

区块链安全公司Oak Security近日披露了Cosmos链软件开发套件（SDK）中的一项潜在安全漏洞，该漏洞可能被利用发动分布式拒绝服务（DDOS）攻击。两位研究人员爱德华·科蒂（Edward Kotysh）和克里斯蒂安·瓦里（Christian Vari）详细解释了这一问题的严重性，并指出其对基于Cosmos网络的影响。

根据研究人员的说法，这一漏洞的核心在于Cosmos SDK中的“BeginBlock”和“EndBlock”功能未受到气体计量（Gas Metering）的限制。这本是设计上的选择，旨在为开发者提供一定的免费计算时间，因为这两个功能通常不会直接影响用户交易。

然而，安全专家警告称，这种设计虽然初衷良好，但可能被恶意行为者滥用，造成严重的后果，包括网络拥堵、验证器性能下降，甚至导致整个网络瘫痪。

他们表示：

“这种自由是一把双刃剑，可能打开一个潜在漏洞的潘多拉盒子。主要问题是，由于缺乏气体限制，BeginBlock和EndBlock中的操作可能会无限扩展，从而对系统稳定性构成威胁。”

为了验证这一理论，研究人员进行了一系列实验测试。在其中一个实验中，他们在不同的区块高度向BeginBlock函数引入随机延迟，延迟时间从5秒到1分钟不等。

实验结果显示，这些延迟显著增加了网络拥堵，减缓了区块生成速度，同时也影响了验证器的表现。一些验证器未能在规定时间内完成签名，甚至错过了投票阶段。

更严重的是，当可用的签名数量不足三分之二时，测试链经历了临时的网络中断。研究人员指出，这种情况如果发生在主网上，可能导致交易处理完全停滞，尤其是那些需要快速确认的关键交易。

Oak Security建议开发者采取修复措施

与此同时，Oak Security为开发者提出了多项解决方案，以防止该漏洞被恶意利用。他们建议实施严格的计算限制，确保任何潜在的攻击向量无法通过过度计算破坏系统。

具体而言，他们提出了三种方法：为BeginBlock和EndBlock函数添加时间复杂度限制，避免其无限运行；使用上下文包装将资源密集型操作隔离到可计量的环境中；以及对所有输入进行严格验证。

此外，研究团队还呼吁开展更全面的测试与模拟，评估漏洞的利用方式及其潜在影响。同时建议引入架构保障措施和操作监控机制，通过标准指标检测异常行为。

Cosmos SDK发布新版本

截至目前，Cosmos SDK官方尚未对该安全报告作出明确回应，也未说明是否会采取措施解决相关问题。这可能是因为所提到的“漏洞”实际上是一项设计特性，而非传统意义上的错误或恶意代码。

尽管如此，使用Cosmos SDK的开发者可以参考安全专家的建议，自行实施改进措施，从而降低遭受DDOS攻击的风险。

值得一提的是，Cosmos SDK近期发布了v0.53.0版本。根据X平台上的公告，这一更新旨在解决开发者此前提出的痛点。

据悉，新版本优化了交易处理效率，提升了社区池的功能，引入了自定义治理机制及铸造模块，同时还包含多个错误修复。开发者目前已可在GitHub上升级至该版本。

作为一款帮助开发者轻松构建自定义区块链并集成到Cosmos生态系统的工具，Cosmos SDK的目标是打造一个“区块链互联网”。

加密大都会学院：想在2025年实现财富增值？在即将到来的WebClass中学习如何通过DeFi进行操作。保存您的位置