Ametric Research, une société de sécurité qui contribue au protocole d'interopérabilité Wormhole, a divulgué les détails d'une vulnérabilité affectant l'écosystème de la blockchain Cosmos qui, selon elle, aurait pu mettre en danger plus de 150 millions de dollars.
Assymétrique a divulgué en privé le bug – une « vulnérabilité de réentrée » – à l'équipe de développement de Cosmos et affirme qu'il a été résolu avant que quiconque ait la possibilité de l'exploiter.
"Nous avons divulgué la vulnérabilité en privé via le programme Cosmos HackerOne Bug Bounty et le problème est désormais corrigé", a déclaré Ametric dans un communiqué. "Aucune exploitation malveillante n'a eu lieu et aucun argent n'a été perdu."
Jessy Irwin, PDG d'Amulet, qui est engagé par la Fondation Interchain pour gérer le programme de bug bounty et coordonner la sécurité dans l'écosystème Cosmos, a confirmé dans un e-mail que le problème avait été signalé et qu'une note consultative avait été publiée à ce sujet.
Une première Cosmos
L'écosystème Cosmos est une communauté de blockchains qui partagent du code et des modules de base. Bien que le bug n'ait pas entraîné de perte de fonds, il était significatif dans la mesure où il marquait la première fois qu'une vulnérabilité de réentrée était découverte pour l'écosystème – largement considéré comme l'une des plates-formes technologiques blockchain les plus fiables et les plus sécurisées.
L'un des principaux composants de la plupart des chaînes Cosmos est le protocole de communication inter-blockchain, ou IBC, une technologie qui permet aux blockchains de communiquer facilement entre elles et d'envoyer des actifs dans les deux sens. La vulnérabilité découverte par Asymétrique se trouvait dans ibc-go, une implémentation de référence d'IBC utilisée par un certain nombre de chaînes Cosmos.
"Au cours de la coordination de ce problème, Amulet et l'équipe IBC-go se sont engagés dans des séries indépendantes d'évaluations d'impact basées sur les risques afin d'identifier les parties potentiellement touchées afin d'atténuer son impact", selon Irwin.
La vulnérabilité, un type de bug de réentrée, aurait théoriquement permis à un attaquant de créer une infinité de jetons sur des chaînes connectées à IBC comme Osmosis, qui héberge l'un des plus grands écosystèmes financiers décentralisés (DeFi) sur Cosmos.
"Bien que cette vulnérabilité existe dans ibc-go depuis le début, elle n'est devenue exploitable qu'en raison des récents développements dans l'écosystème Cosmos SDK", a déclaré Asym dans un article de blog publié mardi. La vulnérabilité a été déverrouillée avec l'avènement du « middleware IBC » – des applications tierces construites à l'aide de CosmWasm, un environnement d'exécution de contrat intelligent basé sur WebAssembly, qui permet d'utiliser des jetons sur des blockchains.
"Cette vulnérabilité met en évidence la nécessité cruciale de mener davantage de recherches sur les risques de sécurité inter-chaînes afin de mieux protéger l'écosystème multichaîne", a déclaré Jonathan Claudius, PDG d'Asymétrique, ancien chef de la sécurité de la société de capital-risque Jump Crypto. "Cette affaire démontre notre capacité et nos efforts continus pour découvrir et neutraliser les menaces existentielles qui pourraient nuire à l'économie numérique."
