A investigadora de segurança Doyeon Park revelou em 21 de abril a existência de uma vulnerabilidade zero-day de criticidade alta com nível CVSS 7.1 na camada de consenso do Cosmos, o CometBFT. A falha pode permitir que nós sejam atacados por pares maliciosos durante a fase de sincronização de blocos (BlockSync), acabando por entrar em deadlock (bloqueio permanente), afetando uma rede que protege ativos no valor de mais de 8 mil milhões de dólares.
Princípio técnico da vulnerabilidade: deadlock infinito causado por manipulação altamente reportada de nós maliciosos
A vulnerabilidade reside no mecanismo de BlockSync do CometBFT. Em condições normais, aquando da ligação os pares reportam alturas mais recentes (latest) de forma incremental. No entanto, o código atual não valida o cenário em que um par reporta primeiro uma altura X e depois reporta uma altura inferior Y — por exemplo, reportar primeiro 2000 e, em seguida, 1001. Neste caso, o nó A na sincronização ficará à espera, de forma permanente, de alcançar a altura 2000, mesmo que o nó malicioso se desligue; a altura-alvo não é recalculada, levando o nó a entrar em deadlock infinito, incapaz de se reintegrar na rede. As versões afetadas são <= v0.38.16 e v1.0.0; as versões corrigidas são v1.0.1 e v0.38.17.
Falha na divulgação coordenada: linha temporal completa da degradação do CVE pelo fornecedor
Park seguiu o processo padrão de divulgação coordenada de vulnerabilidades (CVD), mas encontrou obstáculos várias vezes durante o processo: a 22 de fevereiro submeteu o primeiro relatório; o fornecedor pediu que fosse submetido sob a forma de uma issue pública no GitHub, mas recusou a divulgação pública; a 4 de março, o segundo relatório foi marcado pela HackerOne como spam; a 6 de março, o fornecedor reduziu por conta própria a gravidade da vulnerabilidade de “médio/alto” para “informativa (impacto negligenciável)”, e Park submeteu uma prova de conceito (PoC) a nível de rede para refutar essa decisão; a 21 de abril foi tomada finalmente a decisão de divulgar publicamente.
Park também referiu que o fornecedor tinha efetuado previamente uma operação de degradação semelhante para o CVE-2025-24371, uma vulnerabilidade com efeitos semelhantes, o que é considerado violar normas internacionalmente reconhecidas para avaliação de vulnerabilidades, como o CVSS.
Orientações de emergência: ações que os validadores precisam de tomar agora
Antes da implementação oficial do patch, Park recomenda que todos os validadores do Cosmos evitem ao máximo reiniciar os nós. Os nós que já se encontram no modo de consenso podem continuar a funcionar normalmente; no entanto, se forem reiniciados e entrarem no processo de sincronização BlockSync, poderão entrar em deadlock devido a um ataque por parte de nós maliciosos.
Como medida de mitigação temporária: se for detetado que o BlockSync ficou “preso”, pode-se identificar os pares maliciosos que reportam alturas inválidas aumentando o nível de registo (log), e bloquear esse nó na camada P2P. A solução mais fundamental é fazer upgrade o mais rapidamente possível para as versões corrigidas v1.0.1 ou v0.38.17.
Perguntas frequentes
Esta vulnerabilidade do CometBFT consegue roubar ativos diretamente?
Não. Esta vulnerabilidade não consegue roubar ativos diretamente nem comprometer a segurança dos fundos na cadeia. O seu impacto é fazer com que os nós entrem em deadlock na fase de sincronização BlockSync, impedindo que os nós participem corretamente na rede. Isto pode afetar a capacidade dos validadores de propor blocos (propor) e de votar, afetando assim a atividade das cadeias de blocos relacionadas.
Como é que os validadores podem determinar se um nó foi atacado por esta vulnerabilidade?
Se um nó ficar preso na fase BlockSync, a paragem da progressão da altura-alvo é um sinal possível. Pode-se aumentar o nível de registo do módulo BlockSync para verificar se há registos de pares que tenham enviado mensagens de altura anormais, permitindo identificar potenciais nós maliciosos e bloqueá-los na camada P2P.
O facto de o fornecedor ter degradado a vulnerabilidade para “informativa” cumpre os padrões?
A pontuação CVSS de Park (7.1, alta) baseia-se no método padrão internacional de avaliação, e Park apresentou uma PoC verificável a nível de rede para refutar a decisão de degradação. O facto de o fornecedor a ter reduzido para “impacto negligenciável” é considerado pela comunidade de segurança como uma violação das normas internacionalmente reconhecidas para avaliação de vulnerabilidades, como o CVSS. Esta controvérsia é também uma das razões centrais para Park ter decidido, por fim, divulgar publicamente.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
A Slow Mist alerta para a MioLab, plataforma Malware-as-a-Service que visa ativos cripto e carteiras de hardware no macOS
Mensagem do Gate News, 24 de abril — O responsável de Segurança da Informação da Slow Mist, 23pds, revelou no X que a MioLab é uma plataforma altamente comercializada de malware-as-a-service para macOS (MaaS), ativamente promovida em fóruns clandestinos russos, oferecendo controlo C2, integração de API e capacidades de ataque personalizadas a grupos de cibercriminosos
GateNews34m atrás
O sargento-mor de uma unidade de forças especiais dos EUA foi detido: usou informações confidenciais para apostar na Polymarket que Maduro seria detido, obtendo um lucro de 400 000 dólares
O Departamento de Justiça dos EUA no Distrito Sul de Nova Iorque deduziu acusações contra o sargento das Forças Armadas dos EUA do comando de operações especiais Gannon Ken Van Dyke, alegando que terá usado informação classificada para apostar no Polymarket no resultado de Maduro ser detido, obtendo um lucro de cerca de 409,881 dólares (13 transacções, de 2025-12-27 a 2026-1-26). As acusações incluem o uso ilegal de informação classificada, roubo de informações não públicas, fraude em transacções de mercadorias, burla por transferência bancária e transacções monetárias ilegais, entre outras. O caso é apontado como o primeiro caso federal em que o núcleo da acusação é a arbitragem entre informações privilegiadas e mercados de previsão, o que poderá influenciar a futura orientação regulamentar.
ChainNewsAbmedia1h atrás
Polícia Espanhola Apreende €400K em Cripto de Plataforma Ilegal de Pirataria de Manga, 3 Detidos
Mensagem do Gate News, 24 de abril — A polícia espanhola em Almería apreendeu duas carteiras frias de criptomoedas com aproximadamente €400.000 durante uma busca na maior plataforma ilegal de distribuição de manga do país. Três indivíduos foram detidos em ligação à operação, que foi iniciada
GateNews2h atrás
Sanções da OFAC ao Senador do Camboja por Rede de Burla Criptográfica
Sanções da OFAC ao senador cambojano por rede de burlas com cripto
O (OFAC) (Office of Foreign Assets Control) do Departamento do Tesouro dos EUA sancionou o senador cambojano Kok An, que é acusado de controlar “complexos de burlas” por todo o Camboja que terão defraudado americanos. A OFAC designou An e mais 28 outros
CryptoFrontier3h atrás
Sanções dos EUA contra altos funcionários do Camboja por um esquema de fraude de centenas de milhões num parque de burlas! Tether congela mais de 344 milhões de dólares em USDT
O Departamento do Tesouro dos EUA e o Departamento de Justiça realizaram recentemente uma ação de aplicação conjunta da lei contra as “golpadas de engate”, fraudes de romance com criptomoedas, cada vez mais desenfreadas no Sudeste Asiático. Os órgãos oficiais anunciaram formalmente sanções contra o senador cambojano Loang (Kok An) e 28 indivíduos e entidades da sua rede criminosa, acusando-os de utilizarem influência política e os seus parques de casinos para abrigarem atividades de grande escala de fraude e tráfico de pessoas. Estima-se que estas atividades fraudulentas tenham causado perdas para os cidadãos dos EUA de até 10 mil milhões de dólares por ano. Em conjunto com esta operação de ataque, o emissor de stablecoins Rether também já congelou mais de 344 milhões de dólares em ativos digitais relacionados com o caso.
Golpes de “engate para engorda” em fraudes amorosas: os cidadãos dos EUA perdem mais de 10 mil milhões de dólares por ano
Nos últimos anos, organizações criminosas transnacionais com base no Sudeste Asiático têm adotado em grande escala táticas de fraude conhecidas como “Pig Butchering” (esquema de engorda e abate). Os burlões passam meses a…
ChainNewsAbmedia3h atrás
