Ametric Research, una empresa de seguridad que contribuye al protocolo de interoperabilidad Wormhole, reveló detalles de una vulnerabilidad que afecta al ecosistema blockchain de Cosmos y que, según dice, podría haber puesto en riesgo más de 150 millones de dólares.

Asimétrico reveló en privado el error (una "vulnerabilidad de reentrada") al equipo de desarrollo de Cosmos y dice que se solucionó antes de que alguien tuviera la oportunidad de explotarlo.

"Revelamos en privado la vulnerabilidad a través del programa Cosmos HackerOne Bug Bounty y el problema ya está solucionado", dijo Ametric en un comunicado. "No se produjo ninguna explotación maliciosa y no se perdieron fondos".

Jessy Irwin, directora ejecutiva de Amulet, contratada por la Fundación Interchain para ejecutar el programa de recompensas por errores y coordinar la seguridad en todo el ecosistema Cosmos, confirmó en un correo electrónico que se informó del problema y que se había publicado una nota de aviso al respecto.

Un cosmos primero

El ecosistema Cosmos es una comunidad de blockchains que comparten algunos códigos y módulos centrales. Aunque el error no resultó en la pérdida de fondos, fue significativo porque marcó la primera vez que se descubrió una vulnerabilidad de reentrada para el ecosistema, ampliamente considerado como una de las plataformas de tecnología blockchain más confiables y seguras.

Un componente principal de la mayoría de las cadenas Cosmos es el Protocolo de comunicación entre cadenas de bloques, o IBC, una tecnología que permite que las cadenas de bloques se comuniquen fácilmente entre sí y envíen activos de un lado a otro. La vulnerabilidad que Ametric descubrió estaba en ibc-go, una implementación de referencia de IBC utilizada por varias cadenas de Cosmos.

"Durante la coordinación de este problema, tanto Amulet como el equipo de IBC-go participaron en rondas independientes de evaluación de impacto basada en riesgos para identificar las partes potencialmente afectadas y mitigar su impacto", según Irwin.

La vulnerabilidad, un tipo de error de reentrada, habría permitido en teoría a un atacante acuñar infinitos tokens en cadenas conectadas a IBC como Osmosis, que alberga uno de los ecosistemas de finanzas descentralizadas (DeFi) más grandes en Cosmos.

"Si bien esta vulnerabilidad ha existido en ibc-go desde el principio, sólo se volvió explotable debido a los recientes desarrollos en el ecosistema Cosmos SDK", dijo Ametric en una publicación de blog publicada el martes. La vulnerabilidad se desbloqueó con la llegada del "middleware IBC": aplicaciones de terceros creadas utilizando CosmWasm, un tiempo de ejecución de contrato inteligente basado en WebAssembly, que permite el uso de tokens en cadenas de bloques.

"Esta vulnerabilidad resalta la necesidad crítica de realizar más investigaciones sobre los riesgos de seguridad entre cadenas para proteger mejor el ecosistema multicadena", dijo el director ejecutivo de Ametric, Jonathan Claudius, ex jefe de seguridad de la firma de riesgo Jump Crypto. "Este caso demuestra nuestra capacidad y nuestros esfuerzos continuos para descubrir y neutralizar amenazas existenciales que podrían socavar la economía digital".