危機解除！Cosmos 修補漏洞，避免 1.5 億美元資產遭竊

修補的 Cosmos 漏洞可能危及 1.5 億美元，揭露該漏洞的公司表示

一家為 Wormhole 互通協定做出貢獻的安全公司 Asymmetric Research，透露了影響 Cosmos 區塊鏈生態系統的一個漏洞細節，該公司表示這個漏洞可能危及逾 1.5 億美元。

Asymmetric 私下向 Cosmos 開發團隊揭露了這個「重入漏洞」，並表示在任何人有機會加以利用之前，該漏洞已獲修補。

Asymmetric 在一份聲明中說：「我們透過 Cosmos HackerOne Bug Bounty 計畫私下揭露了這個漏洞，而這個問題現已獲得修補。」「沒有發生惡意利用的情況，也沒有資金損失。」

受 Interchain Foundation 委託負責管理漏洞獎勵計畫並協調 Cosmos 生態系統安全事務的 Amulet 執行長 Jessy Irwin，在一封電子郵件中證實，該公司確實報告了這個問題，並已針對此事發布了一份[安全性建議](https://github.com/cosmos/ibc-go/security/advisories/GHSA-j496-crgh-34mx)。

Cosmos 首見重入漏洞
———————-

Cosmos 生態系統是一個共用部分程式碼和核心模組的區塊鏈社群。雖然這個漏洞沒有導致資金損失，但它的重大意義在於，這是 Cosmos 生態系統首次發現重入漏洞，而該生態系統被廣泛視為最值得信賴和安全的區塊鏈技術平台之一。

大多數 Cosmos 鏈的主要組成部分是區塊鏈間通訊協定（IBC），這是一種讓區塊鏈能夠輕鬆彼此通訊並互相傳送資產的技術。Asymmetric 發現的漏洞存在於 ibc-go 中，這是許多 Cosmos 鏈所使用的 IBC 參考實作。

Irwin 表示：「在協調處理這個問題的過程中，Amulet 和 IBC-go 團隊都進行了獨立的風險影響評估，以確認可能受影響的對象，並減輕其影響。」

這種[重入漏洞](https://www.alchemy.com/overviews/reentrancy-attack-solidity)，理論上可能允許攻擊者在像 Osmosis 這樣連接 IBC 的鏈上無限製造代幣，Osmosis 是 Cosmos 上最大的去中心化金融（DeFi）生態系統之一。

Asymmetric 在週二發布的一篇部落格文章中表示：「雖然這個漏洞自 ibc-go 一開始就存在，但直到最近 Cosmos SDK 生態系統的發展，它才變得可被利用。」這個漏洞是隨著「IBC 中介軟體」的出現而被啟動的，這些第三方應用程式是使用 CosmWasm（一種基於 WebAssembly 的智慧合約執行環境）建立的，允許代幣跨區塊鏈使用。

Asymmetric 執行長 Jonathan Claudius 曾是風投公司 Jump Crypto 的安全長，他表示：「這個漏洞凸顯了我們更需要研究跨鏈安全風險，以更好地保護多鏈生態系統。」「這個案例展現了我們發現並中和可能危及數位經濟的存在威脅的能力和持續努力。」