Partager cet article
Les développeurs bloquent un exploit potentiel à huit chiffres impliquant Ethermint basé sur Cosmos
Ethermint permet l'utilisation de contrats intelligents Ethereum au sein de l'écosystème Cosmo et est utilisé par plusieurs chaînes, notamment Cronos, KAVA et Canto.
Par Shaurya Malwa
Faites de nous votre source préférée sur Google
Une vulnérabilité récente affectant l'écosystème Cosmos et Ethermint a été récemment découverte par la société de trading de Crypto Jump Crypto et bloquée avant qu'elle ne puisse avoir un impact pouvant atteindre « huit chiffres » en dollars américains, ont déclaré les développeurs de Cosmos Evmos à CoinDesk.
Le réseau compromis dans cet incident était Ethermint, qui permet l'utilisation de contrats intelligents Ethereum au sein de l'écosystème Cosmo et est utilisé par plusieurs chaînes, notamment Cronos, KAVA et Canto.
La Suite Ci-Dessous
Ne manquez pas une autre histoire.Abonnez vous à la newsletter The Protocol aujourd. Voir toutes les newsletters
Le bug aurait pu potentiellement permettre à un attaquant de contourner des fonctions spécifiques de contrats intelligents appelées gestionnaires, entraînant un vol des frais de transaction et un déni de service aux utilisateurs.
Dès réception du rapport, l'équipe de développement d'Evmos CORE et l'équipe Cronos ont collaboré avec Jump Crypto pour résoudre le problème. L'implémentation comprenait un correctif bloquant les transactions contenant des messages « MsgEthereumTx », permettant ainsi d'éliminer le vecteur d'attaque.
Aucune exploitation malveillante n’a eu lieu, garantissant la stabilité et la fiabilité continues des chaînes affectées.
L'équipe Cronos a accordé à Jump Crypto une prime de 25 000 $ pour avoir découvert et divulgué la vulnérabilité.
Evmos a déclaré que la cause première de la vulnérabilité résidait dans la mauvaise gestion des messages transactionnels dans l'implémentation Ethermint, en particulier l'interaction entre le message MsgEthereumTx et le message MsgExec.
Le message MsgExec est utilisé dans le SDK Cosmos pour autoriser l'exécution de messages en autorisant un compte à accorder une autorisation à un autre. Cependant, cette fonctionnalité n'était pas correctement sécurisée, ce qui a permis à l'attaquant de contourner « EthGasConsumeDecorator », responsable de la déduction des frais de GAS des transactions.
L'attaquant a exploité la vulnérabilité en intégrant un message MsgEthereumTx dans un message MsgExec. Cela a contourné EthGasConsumeDecorator, empêchant ainsi l'attaquant de payer les frais de GAS pour ses transactions.
