無限にトークンを発行できる重大な脆弱性が発見され、誰かに悪用される前に修正が完了した
Web3セキュリティ企業「Asymmetric research(アシンメトリック・リサーチ)」は23日、2017年から運用されてきた古参ブロックチェーン「Cosmos(コスモス)」に重大な脆弱性を見つけ、誰かが悪用しないようコスモスの開発チームと共同で非公開のうちに修正したと発表した。
新しいブログ投稿: Cosmos IBC 再入性無限ミント。ibc-go の重大な再入性バグにより、Cosmos チェーン上で IBC トークンの無限ミントが可能になる可能性がありました。
見つかったのは、コスモスのブロックチェーン間通信(IBC)プロトコルのリファレンス実装である「ivc-go」の脆弱性だ。タイムアウトメッセージの処理にリエトランシーの脆弱性があり、攻撃者は影響を受けるコスモスチェーン上で無限にIBCトークンをミントすることができた。
コスモス上に構築されたいくつかのプロジェクトが影響を受ける可能性があったといい、分散型取引所(DEX)「Osmosis(オスモーシス)」においては少なくとも1.2億ドル(約180億円)以上の資産が盗まれる可能性があったという。
興味深いことに、この脆弱性は当初から存在していたが、コスモスSDKのエコシステム、特にCosmWasmベースのIBCミドルウェアの最近の発達によって初めて悪用可能となった。
コスモスは2016年から存在し長らくセキュリティ問題とは無縁であったため多くのユーザーが安心して利用していたかもしれない。どんなに安全そうに見えるプロジェクトでも、その成長に伴って偶然セキュリティホールが出現してまう可能性があることを心に留めておこう。
関連:仮想通貨投資商品から2週連続で資金流出|投資意欲が減退気味
関連:SHIB、独自のレイヤー3開発のために1.8億円を調達
