社区早报 — 今日要闻 🔹2025 年 5 月 27 日
1. 美联储将于周五公布4月核心PCE物价指数年率
2. 美国副总统 JD Vance 将于 5 月 28 日出席全球最大比特币大会
3. Strategy 以 106,237 美元均价增持 4020 枚比特币
4. AI 龙头 NVIDIA 将于 5 月 28 日公布财报,或将影响相关概念币走势
5. FTX 将于 5 月 30 日向债权人发放价值 50 亿美元的稳定币赔付资金
6. Liquity 推出全新稳定币 sBOLD 与 yBOLD,支持生息收益,预计下周上线
7. Circle否认计划出售给Coinbase或Ripple
8. Thorchain 正式启动应用层(App Layer)部署,生态拓展加速进行中
9. Polkadot 即将上线「一键部署、无需编码」的 Rollup 解决方案,降低链上开发门槛
Cosmos SDK中的安全漏洞可能允许DDoS攻击
区块链安全公司 Oak Security 对 Cosmos 链软件开发工具包 (SDK) 中的一个漏洞表示担忧,该漏洞可能导致网络上的分布式拒绝服务(DDoS)攻击。在 Medium 的一篇博文中,该公司的两位研究人员 Edward Kotysh 和 Christian Vari 解释了为什么这是一个重大风险。
研究人员指出,漏洞在于 BeginBlock 和 EndBlock 函数不受燃气计量的限制。这是出于设计考虑,因为它使开发者可以获得一些免费计算时间,因为这两个函数并不一定影响用户交易。
然而,安全专家警告说,本 intended 为开发人员提供的微小余地实际上可能会以多种方式对基于 Cosmos 的网络造成重大损害。这些方式包括导致网络拥堵、影响验证者,甚至导致完全停机。
他们说:
“这种自由可能是一把双刃剑,它可能会打开一个充满潜在漏洞的潘多拉魔盒。主要问题是,如果没有燃气限制,BeginBlock 和 EndBlock 中的代码如果优化不佳或存在恶意,将会造成严重的破坏。”
研究人员通过进行实验测试了他们关于漏洞潜在影响的理论。在其中一个实验中,他们在不同的区块高度对 BeginBlock 函数引入了随机延迟,延迟时间从五秒到一分钟不等。
从实验中,专家确认这些延迟导致网络出现了显著的拥堵,减缓了其进展,并增加了完成区块所需的时间。这也影响了验证者,其中一些未能在规定时间内签署区块,还有一些完全错过了投票阶段。
毫不意外,能够签署交易的验证者数量有限,(不到三分之二),这意味着测试链经历了暂时的中断。研究人员指出,这可能导致主网本身的完全中断,在那里有多个交易同时发生,需要被确认。
橡树安全建议开发者进行修复
与此同时,安全专家建议在恶意行为者利用该漏洞之前,采取解决方案来修复它。他们认为需要实施严格的计算限制,以便即使是任何人也无法简单地添加任何攻击向量,从而导致过度计算。
他们确定了三种不同的实现此解决方案的方法。这些方法包括向 BeginBlock 和 EndBlock 函数添加时间复杂性,以确保它们不会无限运行,使用上下文包装将资源密集型操作保持在计量上下文中,以及对函数的所有输入进行验证。
此外,他们呼吁进行更全面的测试和模拟,以确定该漏洞如何被利用及其潜在影响。
他们还确定了架构保障措施和操作监控,以确保网络按照标准指标运行,并检测任何重大偏差。
Cosmos SDK推出新版本
与此同时,Cosmos SDK 尚未对此安全报告做出评论,也未说明他们是否会采取措施解决此问题。这可能是因为所识别的漏洞实际上是一个设计特性,而不是像最近关于供应链攻击的安全警报那样的错误或恶意软件。
幸运的是,使用 Cosmos SDK 的开发者可以实施大多数安全专家的建议,使他们能够控制所部署的内容,并确保其不易受到 DDoS 攻击。
有趣的是,Cosmos SDK 最近推出了其版本 v0.53.0。根据在 X 上的公告,该版本是对构建者对先前版本提出的痛点的回应。
最新版本据报道增加了无序交易、社区池的改进能力、自定义治理机制、周期以及自定义铸造。它还修复了bug,开发者已经可以在GitHub上升级到该版本。
Cosmos SDK 是一个工具,帮助开发者轻松构建自己定制的网络并与 Cosmos 区块链集成,这是一个寻求成为区块链互联网的网络。
Cryptopolitan Academy: 想在2025年增长你的资金吗?在我们即将举行的网络课中学习如何通过DeFi做到这一点。保存你的名额