研究员披露影响 Cosmos 网络的 CometBFT 零日漏洞，受影响资产超 $8 billion

安全研究员朴度延表示，CometBFT 一个 CVSS 评分为 7.1 的零日漏洞可在区块同步期间导致 Cosmos 节点冻结，建议验证者在补丁发布前避免重启。

40d ago

摘要

安全研究员朴度延披露了 CometBFT 中一个高风险零日漏洞。CometBFT 是基于 Cosmos 的网络所使用的共识层，该漏洞影响保障超过 $8 billion 资产安全的链。该缺陷的 CVSS 严重性评分为 7.1，可在区块同步期间导致节点冻结，扰乱链运行，但朴度延表示，它不能直接窃取资产。朴度延建议 Cosmos 验证者在补丁可用前不要重启节点，并在此前已报告风险的基础上补充了这一即时缓解措施。

术语与概念

CometBFT: 一种由基于 Cosmos 的网络使用的区块链共识引擎，用于验证区块并保持分布式节点同步。
Zero-day vulnerability: 一种此前未公开的软件缺陷，在补丁尚未广泛可用前即可被利用或造成危害。
Block synchronization: 区块链节点追赶并验证最新区块以维持网络状态的过程。