Cosmos 生態系面臨停機危機!安全研究員 Doyeon Park 今(21)日公開吹哨,揭露 Cosmos […] 〈白帽駭客揭露 Cosmos 暗藏 0-day 漏洞!節點重啟恐全面死鎖癱瘓,官方卻將通報當垃圾郵件〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。Cosmos 生態系面臨停機危機!安全研究員 Doyeon Park 今(21)日公開吹哨,揭露 Cosmos […] 〈白帽駭客揭露 Cosmos 暗藏 0-day 漏洞!節點重啟恐全面死鎖癱瘓,官方卻將通報當垃圾郵件〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。
白帽駭客揭露 Cosmos 暗藏 0-day 漏洞!節點重啟恐全面死鎖癱瘓,官方卻將通報當垃圾郵件
如需對本內容提供反饋或相關疑問,請通過郵箱 crypto.news@mexc.com 聯絡我們。
Cosmos 生態系面臨停機危機!安全研究員 Doyeon Park 今(21)日公開吹哨,揭露 Cosmos 共識層(CometBFT)存在高危 0-day 漏洞,恐導致節點在區塊同步時死鎖。令人震驚的是,Cosmos 官方不僅忽視該研究員提供的 PoC 鐵證,甚至將通報標記為垃圾郵件、惡意降低漏洞評級以規避發放獎金。忍無可忍之下,研究員決定公開技術細節,並緊急呼籲全網驗證者:「絕對不要重啟節點!」 (前情提要:Ledger CTO 警告:2026 是最糟駭客年, DeFi 單簽架構埋系統性危機) (背景補充:半年抓 100 名北韓 IT 駭客、追回 580 萬美元,以太坊基金會安全計畫報告) 加密貨幣圈的資安防線,有時最大的敵人不是駭客,而是專案方的傲慢。 保護著超過 80 億美元資產的 Cosmos 生態系,今日爆發了嚴重的資安通報爭議。安全研究員 Doyeon Park(@p6rkdoye0n)在社群平台 X 上發布長文,正式公開了 Cosmos 共識層(CometBFT)的一個 0-day 漏洞,並強烈抨擊官方團隊極度不負責任的處理態度。 I’m disclosing a 0-day vulnerability in the Cosmos consensus layer (CometBFT). This is a CVSS 7.1 (High) severity issue that can cause nodes in the Cosmos ecosystem—which secures over $8B+ in assets—to stall during the block synchronization phase. However, direct asset theft is… pic.twitter.com/89XeHmvjBK — Doyeon Park (@p6rkdoye0n) April 21, 2026 高危險 0-day 漏洞,恐致節點「死鎖停機」 據 Doyeon Park 披露,這個漏洞的嚴重程度達到 CVSS 7.1(高危險)。雖然該漏洞無法被用來直接竊取用戶資產,但會導致網路陷入嚴重的癱瘓危機。 為了保護生態系,他在公開技術細節的同時,發布了緊急的「驗證者生存指南(Validator Survival Guide)」。他強烈建議 Cosmos 生態系的節點營運商,在官方釋出修補程式之前,盡可能避免重啟節點。 他解釋道: 「已經處於共識模式的節點可以正常運作;但如果重啟並進入『區塊同步程序(block sync phase)』,該漏洞就可能被觸發,遭惡意節點攻擊而導致死鎖(deadlock),使節點永遠無法重新加入網路。」 怒控官方擺爛:無視鐵證、亂砍評級避發獎金 Doyeon Park 表示,自己一直試圖遵循協調式漏洞揭露(CVD)的正規程序,但最終選擇「公開吹哨」,完全是因為 Cosmos 官方的消極與不作為。他詳細列出了與官方交涉的離譜過程: 無視 PoC 鐵證:在他 2 月首次回報後,廠商竟指示他直接在 GitHub 發布公開 Issue,聲稱「攻擊不可行」。當 Doyeon 提供網路層級的 PoC(概念驗證)徹底反駁官方說法後,官方直接選擇已讀不回。 惡意降低過往評級:更誇張的是,官方擅自將另一個具有同等破壞力的 1-day 漏洞(CVE-2025-24371)降級為「資訊性(可能發生但影響可忽略)」,完全無視國際公認的 MITRE 與 CVSS 標準。Doyeon 痛批,這明顯是為了淡化嚴重性,藉此規避給予研究員適當的認可與漏洞獎金。 把高危通報當垃圾郵件:當他在 3 月透過 HackerOne 回報另一個更嚴重的漏洞時,官方竟在完全沒有技術審核的情況下,直接將其標記為「垃圾郵件(Spam)」。就連資安救援團隊 SEAL 911 介入協調,官方依然故我。 為了生態透明度而吹哨 在歷經近兩個月的無效溝通後,Doyeon Park 決定在 4 月 21 日公開這份 0-day 漏洞的技術細節與影片證據(並未釋出可直接攻擊的完整程式碼,以防遭惡意利用)。他沈痛地表示: 「這次揭露的目的是保護生態系,而非傷害它。所有的安全風險責任完全由廠商承擔。」 相關報導 快訊》NEAR 生態 Rhea Finance 遭駭 760 萬美元!駭客造假代幣「操縱預言機」 Coinbase、幣安尋求接入 Claude Mythos 模型強化資安,最強 AI 能終結加密貨幣駭客? 駭客買下 30 款 WordPress 外掛植入後門、潛伏8個月,用以太坊智能合約繞過域名封鎖〈白帽駭客揭露 Cosmos 暗藏 0-day 漏洞!節點重啟恐全面死鎖癱瘓,官方卻將通報當垃圾郵件〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。
免責聲明: 本網站轉載的文章均來源於公開平台,僅供參考。這些文章不代表 MEXC 的觀點或意見。所有版權歸原作者所有。如果您認為任何轉載文章侵犯了第三方權利,請聯絡 crypto.news@mexc.com 以便將其刪除。MEXC 不對轉載文章的及時性、準確性或完整性作出任何陳述或保證,並且不對基於此類內容所採取的任何行動或決定承擔責任。轉載材料僅供參考,不構成任何商業、金融、法律和/或稅務決策的建議、認可或依據。
您可能也會喜歡
《無敵少俠》第4季大結局播出時間:第8集何時在Prime Video上線
《無敵少俠》第4季大結局播出時間:第8集何時在Prime Video上線。無敵少俠 圖片來源:Prime Video
分享
BitcoinEthereumNews2026/04/21 20:13
GE Aerospace(GE)股價在Q1財報超預期後下跌3.5%——原因在此
GE Aerospace公佈2026年第一季每股盈餘為1.86美元,超越分析師預估的1.60美元,營收達116億美元。商業訂單年增93%,增加到
分享
Coincentral2026/04/21 20:29
Fireblocks 為歐洲主要銀行支持的 Qivalis 歐元穩定幣計劃提供支援
歐洲銀行與Fireblocks合作,計劃於2026年推出Qivalis歐元穩定幣,目標是符合MiCA法規並挑戰美元支持代幣的主導地位。The Post
分享
Blockonomi2026/04/21 20:35
