Share this article
Gli sviluppatori bloccano un potenziale exploit da "otto cifre" che coinvolge Ethermint basato su Cosmos
Ethermint consente l'uso di contratti intelligenti Ethereum all'interno dell'ecosistema Cosmo ed è impiegato da numerose catene, tra cui Cronos, KAVA e Canto.
Updated Apr 14, 2023, 3:06 p.m. Published Apr 14, 2023, 6:36 a.m.
Una recente vulnerabilità che colpisce l'ecosistema Cosmos ed Ethermint è stata scoperta di recente dalla società di trading Cripto Jump Cripto e bloccata prima che potesse causare un impatto pari a "otto cifre" in dollari USA, hanno detto a CoinDesk gli sviluppatori Cosmos Evmos.
La rete compromessa in questo incidente era Ethermint, che consente l'uso di contratti intelligenti Ethereum all'interno dell'ecosistema Cosmo ed è utilizzata da diverse catene, tra cui Cronos, KAVA e Canto.
La storia continua sotto
Il bug avrebbe potuto potenzialmente consentire a un aggressore di eludere specifiche funzioni degli smart contract chiamate gestori, portando al furto delle commissioni di transazione e al diniego di servizio agli utenti.
Subito dopo aver ricevuto il report, il team di sviluppo Evmos CORE e il team Cronos hanno collaborato con Jump Cripto per risolvere il problema. L'implementazione includeva una patch per bloccare le transazioni con messaggi "MsgEthereumTx", consentendo l'eliminazione del vettore di attacco.
Non si è verificato alcuno sfruttamento dannoso, il che garantisce la continua stabilità e affidabilità delle catene interessate.
Il team Cronos ha assegnato a Jump Cripto una ricompensa di 25.000 dollari per aver scoperto e divulgato la vulnerabilità.
Evmos ha affermato che la causa principale della vulnerabilità risiede nella gestione impropria dei messaggi transazionali nell'implementazione di Ethermint, in particolare nell'interazione tra il messaggio MsgEthereumTx e il messaggio MsgExec.
Il messaggio MsgExec viene utilizzato nel Cosmos SDK per consentire l'esecuzione di messaggi autorizzati consentendo a ONE account di concedere l'autorizzazione a un altro account. Tuttavia, questa funzionalità non è stata protetta correttamente, consentendo all'attaccante di bypassare 'EthGasConsumeDecorator', che è responsabile della deduzione delle commissioni GAS dalle transazioni.
L'attaccante ha sfruttato la vulnerabilità incorporando un messaggio MsgEthereumTx all'interno di un messaggio MsgExec. Ciò ha bypassato EthGasConsumeDecorator, con il risultato che l'attaccante non ha pagato le commissioni GAS per le sue transazioni.
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Più Influente: Pavel Durov
L'amministratore delegato di Telegram potrebbe rappresentare la figura più fondamentale nell'adozione di massa autentica delle criptovalute.
Storie Da Non Perdere
