Geliştiriciler, Cosmos Tabanlı Ethermint İçeren Potansiyel “Sekiz Rakam” İstismarını Engelliyor

Cosmos geliştiricileri CoinDesk’e verdiği demeçte, Cosmos ekosistemini ve Ethermint’i etkileyen yakın tarihli bir güvenlik açığı, yakın zamanda kripto ticaret şirketi Jump Crypto tarafından keşfedildi ve ‘sekiz haneli’ ABD dolarına varan bir etkiye neden olmadan önce engellendi.

Bu olaydaki güvenliği ihlal edilmiş ağ, Cosmo ekosisteminde Ethereum akıllı sözleşmelerinin kullanılmasını sağlayan ve Cronos, Kava ve Canto dahil olmak üzere çeşitli zincirler tarafından kullanılan Ethermint idi.

Hata potansiyel olarak bir saldırganın işleyiciler adı verilen belirli akıllı sözleşme işlevlerini atlamasına izin vererek işlem ücretinin çalınmasına ve kullanıcılara hizmet reddine yol açabilirdi.

Raporu alır almaz Evmos Core Geliştirme ekibi ve Cronos ekibi, sorunu çözmek için Jump Crypto ile işbirliği yaptı. Uygulama, ‘MsgEthereumTx’ mesajlarıyla yapılan işlemleri bloke eden ve saldırı vektörünün ortadan kaldırılmasına izin veren bir yama içeriyordu.

Etkilenen zincirlerin sürekli istikrarını ve güvenilirliğini sağlayan kötü niyetli bir istismar meydana gelmedi.

Cronos ekibi, güvenlik açığını keşfedip ifşa ettiği için Jump Crypto’ya 25.000 $ ödül verdi.

Evmos, güvenlik açığının temel nedeninin, Ethermint uygulamasındaki işlem mesajlarının, özellikle MsgEthereumTx mesajı ile MsgExec mesajı arasındaki etkileşimin yanlış işlenmesinde yattığını söyledi.

MsgExec mesajı, bir hesabın başka bir hesaba yetki vermesine izin vererek yetkili mesajın yürütülmesine izin vermek için Cosmos SDK’da kullanılır. Ancak bu özellik düzgün bir şekilde güvence altına alınmadı ve saldırganın işlemlerden gaz ücretlerini kesmekten sorumlu olan ‘EthGasConsumeDecorator’u atlamasına izin verdi.

Saldırgan, bir MsgExec mesajının içine bir MsgEthereumTx mesajı yerleştirerek güvenlik açığından yararlandı. Bu, EthGasConsumeDecorator’ı atlayarak saldırganın işlemleri için gaz ücreti ödememesine neden oldu.