Desenvolvedores bloqueiam potencial exploração de ‘oito dígitos’ envolvendo Ethermint baseado em Cosmos

O Ethermint permite o uso de contratos inteligentes Ethereum dentro do ecossistema Cosmo e é empregado por diversas cadeias, incluindo Cronos, KAVA e Canto.

(Mika Baumeister/Unsplash)

Uma vulnerabilidade recente que afeta o ecossistema Cosmos e o Ethermint foi descoberta recentemente pela empresa de negociação de Cripto Jump Cripto e bloqueada antes que pudesse causar um impacto de até "oito dígitos" em dólares americanos, disseram os desenvolvedores do Cosmos , Evmos, ao CoinDesk.

A rede comprometida neste incidente foi a Ethermint, que permite o uso de contratos inteligentes Ethereum dentro do ecossistema Cosmo e é empregada por várias cadeias, incluindo Cronos, KAVA e Canto.

O bug poderia ter permitido que um invasor ignorasse funções específicas de contratos inteligentes chamadas manipuladores, levando ao roubo de taxas de transação e à negação de serviço aos usuários.

Imediatamente após receber o relatório, a equipe de desenvolvimento do Evmos CORE e a equipe do Cronos colaboraram com a Jump Cripto para resolver o problema. A implementação incluiu um patch para bloquear transações com mensagens "MsgEthereumTx", permitindo a eliminação do vetor de ataque.

Nenhuma exploração maliciosa ocorreu, garantindo a estabilidade e confiabilidade contínuas das cadeias afetadas.

A equipe da Cronos concedeu à Jump Cripto uma recompensa de US$ 25.000 pela descoberta e divulgação da vulnerabilidade.

Evmos disse que a causa raiz da vulnerabilidade estava no tratamento inadequado de mensagens transacionais na implementação do Ethermint, especificamente na interação entre a mensagem MsgEthereumTx e a mensagem MsgExec.

A mensagem MsgExec é usada no Cosmos SDK para permitir a execução autorizada de mensagens, permitindo que uma conta conceda autorização a outra conta. No entanto, esse recurso não foi protegido adequadamente, permitindo que o invasor ignorasse o 'EthGasConsumeDecorator', que é responsável por deduzir taxas de GAS das transações.

O invasor explorou a vulnerabilidade ao incorporar uma mensagem MsgEthereumTx dentro de uma mensagem MsgExec. Isso ignorou o EthGasConsumeDecorator, resultando no invasor não pagando taxas de GAS por suas transações.

STAR Report Image

Stablecoin market cap fell to $312B in June, its largest monthly drop since TerraUSD, while tokenized equity volumes surged 145% to a record $3.86B.

Por que é importante:

Stablecoin market cap fell to $312B in June, its largest monthly drop since TerraUSD, while tokenized equity volumes surged 145% to a record $3.86B.