Gate News 訊息,4 月 22 日——安全研究員 Doyeon Park 揭露了 Cosmos 共識層 CometBFT 中一個關鍵 CVSS 7.1 零日漏洞,可能導致節點在區塊同步期間凍結,進而可能影響保護 $8 十億元以上資產的網路。該漏洞無法直接竊取資金。
Park 於 2 月 22 日啟動協調披露流程,但遭到廠商的抵制;廠商要求提交公開的 GitHub 問題,卻拒絕進行公開披露。3 月 4 日,HackerOne 將他的第二份通報標記為垃圾訊息。3 月 6 日,廠商將相關漏洞 (CVE-2025-24371) 任意降級為「資訊等級」,並駁回國際標準。Park 在 4 月 21 日公開披露該缺陷之前,提交了網路層級的概念驗證以反制這一決定。
Park 建議 Cosmos 的驗證者在發布修補程式前避免重啟節點。已處於共識模式的節點可持續運作,但重啟並進入同步可能使其遭受惡意對等方的攻擊,並可能導致死鎖。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
Venus Protocol 攻擊者轉移 2301 枚 ETH,流入 Tornado Cash 清洗
根據鏈上分析師 Ai 阿姨於 4 月 22 日的監測,Venus Protocol 攻擊者在 11 小時前向地址 0xa21…23A7f 轉移 2,301 枚 ETH(約 532 萬美元),隨後將資金分批轉入加密混合器 Tornado Cash 進行清洗;截至監測時,攻擊者鏈上仍持有約 1,745 萬美元的 ETH。
Market Whisper1小時前
CometBFT 零日漏洞曝光,80 億美元 Cosmos 網路節點面臨死鎖風險
安全研究員 Doyeon Park 於 4 月 21 日公開揭露 Cosmos 共識層 CometBFT 中存在一個 CVSS 7.1 級高危零日漏洞,可能導致節點在區塊同步(BlockSync)階段遭惡意對等節點攻擊而陷入死鎖,影響保障超 80 億美元資產的網路。
Market Whisper1小時前
北韓 Lazarus Group 發布新款 Mach-O Man macOS 惡意程式,鎖定加密領域
摘要:Lazarus Group 發布了一套名為 Mach-O Man 的原生 macOS 惡意程式工具包,旨在針對加密平台與高價值主管;SlowMist 提醒使用者在遭受攻擊時要保持謹慎。
摘要:本文報告指出,Lazarus Group 已推出 Mach-O Man,一套面向加密貨幣平台與高價值主管的原生 macOS 惡意程式工具包。SlowMist 提醒使用者提高警惕,以降低潛在攻擊風險。
GateNews1小時前
霍爾木茲海峽出現比特幣通行費詐騙,艘船支付後仍遭砲擊
據 CoinDesk 於 4 月 22 日報道,希臘海事風險服務公司 Marisks 發出警告,稱詐騙者冒充伊朗當局向多家航運公司發送訊息,索取比特幣或 USDT 作為通過霍爾木茲海峽的「通行費」。Marisks 確認相關訊息並非來自伊朗官方管道,並據路透社報道,表示相信至少有一艘船上當受騙,在週末嘗試通過時仍遭砲擊。
Market Whisper1小時前
RHEA Finance 安全事件更新:剩餘約 40 萬美元缺口,承諾全額賠付
RHEA Finance 發布針對 4 月 16 日安全事件的後續更新,確認在資產追回方面已取得實質進展;截至此次更新,估計仍存在約 40 萬美元的資金缺口,主要源於借貸市場資金池中 NEAR、USDT 及 USDC 的組合。RHEA Finance 承諾全額彌補任何剩餘缺口,確保所有受影響用戶獲得完整補償。
Market Whisper1小時前
Venus 攻擊者轉移 2,301 ETH 至混幣服務;使用 Tornado Cash 進行洗錢
鏈上分析追蹤一名使用 Venus 協議的攻擊者,將 2,301 ETH (~$5.32M) 轉移至疑似錢包,隨後透過 Tornado Cash 進行分批操作;鏈上仍保有約 $17.45M。
摘要:本記註整理與 Venus 協議攻擊者相關的鏈上活動,包括將 2,301 ETH (~$5.32M) 轉至錢包,並透過 Tornado Cash 進行分批混幣,且約 $17.45M 仍持有於鏈上。
GateNews2小時前
