Уязвимость в Cosmos SDK может привести к DDoS-атакам
By: coin spot|2025/05/03 01:00:18
0
Поделиться
Специалисты из Oak Security подняли тревогу. В Cosmos SDK обнаружен баг, который открывает двери для потенциальных DDoS-атак . В блоге Medium исследователи компании, Эдвард Котыш и Кристиан Вари , объяснили, почему проблема может быть куда серьёзнее, чем кажется. Суть бага в отсутствии учёта газа при исполнении функций BeginBlock и EndBlock . Так было и задумано, они считаются «вне пользовательских транзакций» и дают разработчикам немного свободного времени на вычисления. Но, как отмечают исследователи, это самое «свободное время» легко превращается в уязвимость. Если в эти функции добавить плохо оптимизированный или намеренно вредоносный код, можно серьёзно навредить всей экосистеме Cosmos . Речь идёт не просто о лаге или ошибке, а о перегрузке валидаторов, блокировке блоков и даже полном отказе сети. «Эта свобода открывает ящик Пандоры для всех, кто хочет устроить хаос. Без лимитов по газу BeginBlock и EndBlock могут реально обрушить сеть», — заявили эксперты. Чтобы проверить уязвимость, команда Oak провела серию экспериментов. В одном из них они вставляли случайные задержки в BeginBlock , от 5 секунд до целой минуты. Уже при таких условиях сеть начинала захлёбываться. Прогресс блоков тормозился, а валидаторы не успевали подписывать блоки вовремя. Читайте также: Объем торговли на блокчейне Sonic вырос на 130% после анонса Binance об аирдропе S-токенов Часть валидаторов вообще пропускала фазы голосования, из-за чего общее число голосов падало ниже 2/3, сеть временно зависала. На тестовой сети это выглядело как остановка, но в реальной ситуации с загруженным мейннетом такие сбои могут стать фатальными. Oak предлагает решение Исследователи из Oak Security отмечают, что баг нужно устранять до того, как им воспользуется кто-то недоброжелательный. Команда предложила конкретные меры, которые помогут зафиксировать уязвимость и не дать превратить её в вектор атаки. Во-первых, они советуют установить жёсткие вычислительные ограничения, чтобы код в BeginBlock и EndBlock не мог бесконтрольно грузить сеть. Они выделили три возможных подхода: ограничить сложность самих функций по времени исполнения, чтобы они не могли крутиться бесконечно, ввести обёртки (context wrapping) , которые будут принудительно учитывать расход ресурсов и «счётчик газа» даже для этих участков, валидировать все входные данные , чтобы исключить вредоносные сценарии на этапе вызова функций. Помимо этого, команда призывает разработчиков чаще проводить стресс-тесты и моделировать возможные векторы атаки. Также предлагается ввести архитектурные защитные механизмы и операционный мониторинг. По мнению экспертов, это поможет отслеживать, когда система начинает работать нестабильно, и вовремя ловить потенциальные сбои, прежде чем они перерастут в остановку всей сети. Cosmos SDK выпускает обновление На момент публикации Cosmos SDK официально не прокомментировал отчёт Oak Security . Пока не понятно будут ли предпринимать какие-то шаги для устранения уязвимости. Это может быть связано с тем, что сам баг, это не совсем баг в классическом смысле. Скорее, это особенность дизайна, а не ошибка или вредоносный код. Хорошая новость в том, что разработчики, использующие Cosmos SDK , могут сами внедрить большинство рекомендаций от Oak . Это даст им больше контроля над своим кодом и убережёт сеть от потенциальных DDoS-атак . Читайте также: Tether увеличил закупки казначейских бондов до $98.5B Параллельно Cosmos SDK выпустил новую версию v0.53.0 . Как заявили разработчики в X, обновление это ответ на боль и фидбек от сообщества, которые накопились по поводу предыдущей версии. Что добавили: поддержку неупорядоченных транзакций , новые возможности для комьюнити-пулов , гибкую настройку governance , эпохи и кастомный minting , исправления багов. Обновление уже доступно на GitHub , и разработчики могут переходить на новую версию. Cosmos SDK остаётся одним из главных инструментов для тех, кто хочет запустить собственную сеть и подключиться к Cosmos .
Вам также может понравиться
From Followers to Price Setters: The Role of the Crypto Market is Reversing
The encryption platform successfully achieved precise pre-listing pricing on CBRS, indicating that Crypto is gradually transforming from a follower of traditional finance into a new pricing hub for global assets through innovative mechanisms.
Interpretation of xBubble SOP: Packaging Vibe Coding for non-technical users
DAPPOS has launched the low-threshold AI application xBubble, which innovatively automates the packaging of complex large model workflows with an SOP system, allowing users with no technical background to complete professional-level AI tasks with just one sentence.
Morning Report | Deloitte acquires crypto infrastructure company Blocknative; stablecoin company Checker completes $8 million financing; a16z may have become the largest external institutional holder of HYPE
Overview of Important Market Events on May 20
WEEX New Navigation: Trade Faster, Find Trends, Copy Top Traders Instantly
Коротко о главномТеперь вы можете быстрее находить популярные торговые пары благодаря специальным разделам для спотовой и фьючерсной торговли.Платформа автоматически открывает последнюю просмотренную вами торговую пару, чтобы вы не теряли прогресс.Просто наведите курсор на «Копитрейдинг», чтобы увидеть лучших трейдеров за последние три недели.Это обновление уже доступно всем пользователям WEEX. Торговля идет медленно? Мы знаем, как это исправитьКаждое нажатие, прокрутка и клик по меню отнимают драгоценные секунды. Упущенные тренды. Потерянный прогресс. Скрытые копитрейдеры. Разрозненные данные об активах. Именно поэтому WEEX полностью переработал верхнюю панель навигации, чтобы устранить любые задержки. Теперь вы можете находить трендовые пары до того, как они взлетят, продолжать работу с того места, где остановились, видеть лучших копитрейдеров при наведении курсора и проверять кошелек без лишних переходов по меню. Меньше препятствий — быстрее решения. 5 улучшений навигации для более эффективной торговлиВот что изменилось и почему это важно для вашей ежедневной торговли:Трендовые темы для спота и фьючерсов: мгновенно переключайтесь между рынками и находите пары с высокой динамикой. Больше никакого поиска.Автоматическое открытие последней пары: WEEX запоминает, что вы смотрели в последний раз. Возвращайтесь в любое время и продолжайте торговать.Просмотр копитрейдеров при наведении: наведите курсор на Копитрейдинг, чтобы увидеть топ-трейдеров за 3 недели. Мгновенный переход на их страницы.Ярлык кошелька в главном меню: проверяйте баланс, пополнения и выводы в один клик.Объединенный выбор языка и валюты: просматривайте и меняйте оба параметра вместе. Настройка за секунды. Кто получит максимальное преимущество в скорости?Выигрывают все, но для высокочастотных трейдеров и пользователей копитрейдинга прирост эффективности будет наиболее заметным.Новички учатся быстрее: понятный интерфейс и доступный копитрейдинг снижают порог входа.Активные трейдеры на споте и фьючерсах экономят минуты за сессию благодаря автозагрузке пар и фильтрам трендов.Подписчики копитрейдинга находят лучших исполнителей одним наведением курсора вместо множества кликов.Пользователи, часто работающие с активами, оценят ярлык кошелька для быстрого пополнения и проверки баланса.Как найти новые функции навигации в два кликаВот как найти новые функции навигации на главной странице WEEX всего за пару кликов:Войдите в систему и посмотрите на верхнюю панель (Спот, Фьючерсы, Копитрейдинг, Кошелек, значок глобуса).Наведите курсор на Копитрейдинг → увидите топ-трейдеров за 3 недели.Нажмите Спот или Фьючерсы → последняя просмотренная пара загрузится автоматически.Нажмите на глобус → переключайте язык и валюту одновременно.Нажмите Кошелек → мгновенно просматривайте все активы. Торгуйте умнее — обновления уже работаютЭти улучшения уже доступны. Ничего не нужно включать. Без дополнительных затрат.👉 Попробуйте новую навигацию WEEX прямо сейчасТоргуйте быстрее. Упускайте меньше. WEEX. Спасибо, что торгуете с WEEX О WEEXОснованная в 2018 году, биржа WEEX превратилась в глобальную криптовалютную платформу с более чем 6,2 миллионами пользователей в 150+ странах. Платформа делает упор на безопасность, ликвидность и удобство использования, предоставляя более 1200 пар для спотовой торговли и кредитное плечо до 400x на криптофьючерсах. Помимо традиционных рынков, WEEX активно внедряет ИИ-технологии: предоставляет новости в реальном времени, инструменты для ИИ-трейдинга и инновационные модели «trade-to-earn», делая интеллектуальную торговлю доступной для каждого. Фонд защиты в 1000 BTC дополнительно укрепляет безопасность активов и прозрачность, а функции копитрейдинга позволяют пользователям следовать за профессионалами и делать свой торговый путь более эффективным.Подписывайтесь на WEEX в соцсетяхX: @WEEX_OfficialInstagram: @WEEX ExchangeTiktok: @weex_globalYoutube: @WEEX_OfficialDiscord: WEEX CommunityTelegram: WeexGlobal Group
Момент оплаты для ИИ-агентов: кто станет Stripe в экономике машин?
Криптографическая инфраструктура и карточные организации не исключают друг друга; победителем станет единый шлюз, объединяющий оба направления одновременно.
Утренний отчет | MoonPay приобретает уровень исполнения Solana DFlow; Strategy выпускает финансовый отчет за 1 квартал; Manta Network объявляет о прекращении программы стейкинга Manta
Обзор важных рыночных событий за 6 мая
Арендованные треки: за что на самом деле платит эта волна «горячих денег» в стейблкоинах?
На рынке происходит переоценка уровня, связывающего эмитентов стейблкоинов с реальной экономикой — транзакционного уровня.
Dialogue Velocity Eric: Какой стейблкоин-трек действительно нужен финансовым директорам?
Бывший топ-менеджер Worldpay выходит на крипторынок: как Velocity решает главные проблемы финансовых директоров, связанные с трансграничными расчетами и простаивающими средствами, с помощью «платежных счетов в стейблкоинах».
В стратегии следовало указать, что продажа монет не исключается
Если Сэйлор продаст свои монеты, рухнет ли криптовалютный рынок?
Как MegaETH удалось достичь TVL в 700 млн за неделю после TGE? Анализ стратегии «упаковки»
MegaETH создала маховик с помощью USDm, стремясь в краткосрочной перспективе привлечь большое количество пользователей и средств.
Часы торговли фьючерсами: торгуйте криптовалютой 24/7 и возвращайте до 45% торговых комиссий
Узнайте часы торговли фьючерсами и лучшее время для торговли криптофьючерсами. Откройте для себя преимущества круглосуточного рынка, периоды пиковой активности и способы возврата до 45% комиссий.
Почему a16z Crypto привлекает еще 2,2 миллиарда долларов для масштабных инвестиций в Web3?
Этот раунд финансирования делает ставку на переход криптовалют от этапа развития инфраструктуры к фазе реального внедрения пользователями. Независимо от того, идет ли речь о криптовалютах или интеграции с ИИ, реальные деньги будут направлены только туда, где технологии способны превращаться в готовые продукты.
Разбор алгоритмов Polymarket
Возможно, это единственная статья в Twitter, где простым языком объясняется вся внутренняя архитектура Polymarket.
Чем занимаются проекты, рожденные на криптомедвежьем рынке?
С января по апрель RootData зафиксировала более 1070 новых проектов, что на 32% меньше по сравнению с аналогичным периодом прошлого года.
Лекция основателя a16z в Стэнфорде: когда идеи Уолл-стрит и Кремниевой долины расходятся, ошибается именно Уолл-стрит
Бен Хоровиц, сооснователь a16z, выступил с яркой речью: два традиционных «рва» программного обеспечения в эпоху ИИ исчезли, и предпринимателям необходимо искать «новые барьеры», выходящие за рамки кода и пользовательского интерфейса.
Michael Saylor: After three consecutive quarters of losses, Strategy will sell Bitcoin to pay dividends
After MSTR's financial report showed continued net losses, Saylor changed his stance: Bitcoin is no longer "never to be sold" and can be used as a payment tool.
Станция оплаты в Ормузском проливе и юань, который невозможно купить
Кризис доллара США порождает новую ситуацию в мировых расчетах: золото переосмысливается как «мост», система CIPS стремительно расширяется, а глобальные финансовые потоки втихую открывают новый канал для юаня, который пока «трудно достать».
Интервью со стратегическим директором Coinbase Institutional: институционализация криптовалют достигла критической точки
Руководство Coinbase проводит глубокий анализ: несмотря на краткосрочную рыночную панику, институциональные инвесторы ускоряют выход на рынок, а токенизация и концепция «единой биржи для всего» готовятся полностью перестроить глобальную финансовую инфраструктуру.
From Followers to Price Setters: The Role of the Crypto Market is Reversing
The encryption platform successfully achieved precise pre-listing pricing on CBRS, indicating that Crypto is gradually transforming from a follower of traditional finance into a new pricing hub for global assets through innovative mechanisms.
Interpretation of xBubble SOP: Packaging Vibe Coding for non-technical users
DAPPOS has launched the low-threshold AI application xBubble, which innovatively automates the packaging of complex large model workflows with an SOP system, allowing users with no technical background to complete professional-level AI tasks with just one sentence.
Morning Report | Deloitte acquires crypto infrastructure company Blocknative; stablecoin company Checker completes $8 million financing; a16z may have become the largest external institutional holder of HYPE
Overview of Important Market Events on May 20
WEEX New Navigation: Trade Faster, Find Trends, Copy Top Traders Instantly
Коротко о главномТеперь вы можете быстрее находить популярные торговые пары благодаря специальным разделам для спотовой и фьючерсной торговли.Платформа автоматически открывает последнюю просмотренную вами торговую пару, чтобы вы не теряли прогресс.Просто наведите курсор на «Копитрейдинг», чтобы увидеть лучших трейдеров за последние три недели.Это обновление уже доступно всем пользователям WEEX. Торговля идет медленно? Мы знаем, как это исправитьКаждое нажатие, прокрутка и клик по меню отнимают драгоценные секунды. Упущенные тренды. Потерянный прогресс. Скрытые копитрейдеры. Разрозненные данные об активах. Именно поэтому WEEX полностью переработал верхнюю панель навигации, чтобы устранить любые задержки. Теперь вы можете находить трендовые пары до того, как они взлетят, продолжать работу с того места, где остановились, видеть лучших копитрейдеров при наведении курсора и проверять кошелек без лишних переходов по меню. Меньше препятствий — быстрее решения. 5 улучшений навигации для более эффективной торговлиВот что изменилось и почему это важно для вашей ежедневной торговли:Трендовые темы для спота и фьючерсов: мгновенно переключайтесь между рынками и находите пары с высокой динамикой. Больше никакого поиска.Автоматическое открытие последней пары: WEEX запоминает, что вы смотрели в последний раз. Возвращайтесь в любое время и продолжайте торговать.Просмотр копитрейдеров при наведении: наведите курсор на Копитрейдинг, чтобы увидеть топ-трейдеров за 3 недели. Мгновенный переход на их страницы.Ярлык кошелька в главном меню: проверяйте баланс, пополнения и выводы в один клик.Объединенный выбор языка и валюты: просматривайте и меняйте оба параметра вместе. Настройка за секунды. Кто получит максимальное преимущество в скорости?Выигрывают все, но для высокочастотных трейдеров и пользователей копитрейдинга прирост эффективности будет наиболее заметным.Новички учатся быстрее: понятный интерфейс и доступный копитрейдинг снижают порог входа.Активные трейдеры на споте и фьючерсах экономят минуты за сессию благодаря автозагрузке пар и фильтрам трендов.Подписчики копитрейдинга находят лучших исполнителей одним наведением курсора вместо множества кликов.Пользователи, часто работающие с активами, оценят ярлык кошелька для быстрого пополнения и проверки баланса.Как найти новые функции навигации в два кликаВот как найти новые функции навигации на главной странице WEEX всего за пару кликов:Войдите в систему и посмотрите на верхнюю панель (Спот, Фьючерсы, Копитрейдинг, Кошелек, значок глобуса).Наведите курсор на Копитрейдинг → увидите топ-трейдеров за 3 недели.Нажмите Спот или Фьючерсы → последняя просмотренная пара загрузится автоматически.Нажмите на глобус → переключайте язык и валюту одновременно.Нажмите Кошелек → мгновенно просматривайте все активы. Торгуйте умнее — обновления уже работаютЭти улучшения уже доступны. Ничего не нужно включать. Без дополнительных затрат.👉 Попробуйте новую навигацию WEEX прямо сейчасТоргуйте быстрее. Упускайте меньше. WEEX. Спасибо, что торгуете с WEEX О WEEXОснованная в 2018 году, биржа WEEX превратилась в глобальную криптовалютную платформу с более чем 6,2 миллионами пользователей в 150+ странах. Платформа делает упор на безопасность, ликвидность и удобство использования, предоставляя более 1200 пар для спотовой торговли и кредитное плечо до 400x на криптофьючерсах. Помимо традиционных рынков, WEEX активно внедряет ИИ-технологии: предоставляет новости в реальном времени, инструменты для ИИ-трейдинга и инновационные модели «trade-to-earn», делая интеллектуальную торговлю доступной для каждого. Фонд защиты в 1000 BTC дополнительно укрепляет безопасность активов и прозрачность, а функции копитрейдинга позволяют пользователям следовать за профессионалами и делать свой торговый путь более эффективным.Подписывайтесь на WEEX в соцсетяхX: @WEEX_OfficialInstagram: @WEEX ExchangeTiktok: @weex_globalYoutube: @WEEX_OfficialDiscord: WEEX CommunityTelegram: WeexGlobal Group
Момент оплаты для ИИ-агентов: кто станет Stripe в экономике машин?
Криптографическая инфраструктура и карточные организации не исключают друг друга; победителем станет единый шлюз, объединяющий оба направления одновременно.
Утренний отчет | MoonPay приобретает уровень исполнения Solana DFlow; Strategy выпускает финансовый отчет за 1 квартал; Manta Network объявляет о прекращении программы стейкинга Manta
Обзор важных рыночных событий за 6 мая
Служба поддержки:@weikecs
Деловое сотрудничество:@weikecs
Количественная торговля и ММ:bd@weex.com
VIP-программа:support@weex.com
