正常情況下, Cosmos 驗證者若涉及隨意投票、簽署虛假交易等任何不端行為,其所持有的 ATOM 代幣就會被削減以示懲罰,這些代幣還須等待 21 天才能被贖回。
根據 Tendermint 的說法,雖然漏洞不能被用來生成新的 ATOM 代幣,也不能被用來竊取其他人的 ATOM 代幣,但允許驗證者能繞過 21 天的約束期,並私自解凍遭鎖倉的代幣。
實際上,此漏洞是在 Cosmos 軟體開發工具套件(SDK)的權益分配模塊(Staking Modules)中被尋獲。據悉,Cosmos SDK 最初是在 2018 年以「最先進的區塊鏈工具包」首次亮相,並被描述為「安全、輕鬆構建區塊鏈的另一種方式」。
Tendermint 安全負責人 Jessy Irwin 表示,雖然這是首個影響到 Cosmos 主網絡的漏洞,但並不是首個外界向我們通報的漏洞。Irwin 接著提到,
「我們已經完成了 7 次安全審核,提出過多個網絡問題、同時還有一個非常活躍的漏洞賞金計劃。過去一年半以來,我們投入了大量資金,只為創建一個積極通報漏洞的環境。」
目前,該漏洞已第一時間在 Cosmos 網絡上被修復,緊急要求 Cosmos 驗證者執行緊急硬分叉或系統升級,並成功於 5 月 31 日在第 482,100 區塊激活。
Irwin 強調,緊急修補漏洞並非易事,為了使這個硬分叉能夠成功執行,同時避免導致網絡分裂,團隊需要同時間將緊急通知傳送給所有 Cosmos 驗證者,以及其他服務供應商。
