仮想通貨エコシステムの重要なインフラ構成要素であるCosmosネットワークに、重大なセキュリティ脆弱性が発見されました。
セキュリティ研究者のパク・ドヨン氏は、Cosmos(ATOM)のコンセンサス層で使用されているCometBFTに発見した「ゼロデイ」脆弱性を公表した。
Park氏が共有した情報によると、この脆弱性はCVSS 7.1(高レベル)と評価されており、Cosmosエコシステム内のノードがブロック同期処理中にロックされる可能性がある。これは直接的な資産盗難にはつながらないものの、80億ドル以上の資産を保護するネットワークに重大な運用上の混乱を引き起こす可能性のある潜在的なリスクとみなされている。
研究者は、通常は脆弱性の責任ある開示を義務付ける協調的脆弱性開示(CVD)プロセスに従ったものの、コミュニケーションの問題や関連開発チームとの協力不足のため、調査結果を公表することにしたと述べた。パーク氏は、このプロセス中に発生する可能性のあるセキュリティリスクについては、開発者が責任を負うと付け加えた。
この発表に続き、Cosmosバリデーター向けの「サバイバルガイド」も公開されました。このガイドによると、脆弱性が修正されるまでは、ノードオペレーターはできる限りシステムを再起動しないように推奨されています。これは、脆弱性が特にブロック同期フェーズ中に発生するためです。現在コンセンサスモードで動作しているノードは問題なく動作し続けることができますが、再起動されたノードは、悪意のあるピアに遭遇した場合、ロックされてネットワークに再参加できなくなる可能性があります。
パク氏は、情報開示の背景についても注目すべき主張を行った。同氏によると、開発チームは脆弱性は悪用できないと主張し、GitHubでレポートを公開するよう求めたものの、詳細な説明を求める要求は拒否したという。そこでパク氏は、脆弱性が実際に悪用可能であることを示すネットワークレベルの「概念実証」(PoC)を提供したが、その後は何のフィードバックも得られなかったと述べた。
一方、以前は同様の影響を及ぼすとされていた脆弱性コードCVE-2025-24371が、開発チームによって「軽微」と再分類されたとの主張もあった。パーク氏は、これは国際標準を定めたMITREおよびFIRSTの基準に矛盾すると主張した。
研究者はまた、HackerOneを通じてより深刻な脆弱性を報告したが、技術的なレビューを受けることなく「スパム」としてマークされたと主張した。パーク氏は、Cosmosのバグ報奨金プログラムに参加している他の研究者からも同様の問題が提起されていると指摘した。
※これは投資アドバイスではありません。
