PANews 4月22日消息,安全研究人员Doyeon Park披露Cosmos共识层CometBFT中存在一个CVSS 7.1级高危零日漏洞,可能导致节点在区块同步阶段卡死,影响保障超80亿美元资产的网络。该漏洞无法直接窃取资产。Park表示,其遵循协调漏洞披露流程未果,因供应商缺乏合作且拒绝公开报告,最终决定公开披露。供应商曾将先前相同影响的漏洞CVE-2025-24371自行降级为“信息性”级别,无视国际标准。
时间线显示:Park于2月22日提交首份报告,供应商要求以公开GitHub issue形式提交但拒绝公开披露;3月4日第二份报告被HackerOne标记为垃圾邮件;3月6日供应商任意降低CVE级别,Park提交网络级PoC反驳;4月21日最终公开披露。Park建议:在补丁发布前,Cosmos验证者尽可能避免重启节点。已处于共识模式的节点可继续运行,但重启进入同步过程时可能遭恶意对等节点攻击导致死锁。
