Sıfırıncı gün açıkları kritik keşiflerdir ve internet siteleri, uygulamalar, protokollerin ele geçirilmesine kapı açabilir. Geçtiğimiz günlerde Drift ve Kelp DAO saldırılarını yaşadık, şimdiyse gündemde Cosmos ekosistemi var.
Cosmos (ATOM) açığı
Zafiyet p6rkdoye0n tarafından duyuruldu ve 8 milyar doların üzerinde varlığı koruyan Cosmos ekosistemindeki düğümlerin blok senkronizasyon aşamasında donmasına neden olabilecek türden bir açık. CVSS 7.1 (Yüksek) ciddiyet derecesine sahip bir sorun olsa da doğrudan varlıkları tehlikeye attığı söylenemez. Yani Drift veya Kelp DAO olayından farklı bir şeyden bahsediyoruz. Buradaki zafiyet sistemin çalışmasını sekteye uğratabilecek türden.
Açığı tespit eden siber güvenlik uzmanı ciddiye alınmadığı için bunu duyurmaya karar verdiğini yazdı.
“Ekosistemin güvenliği için Koordineli Güvenlik Açığı Açıklama (CVD) prosedürünü takip etmek için her türlü çabayı gösterdim; ancak, onların iş birliği yapmaması ve sorumsuz kararları nedeniyle, açıklamaya devam etmeye karar verdim.
Bu eylem, sağlayıcının nihai kararı doğrultusunda gerçekleştirilmektedir. Ortaya çıkan tüm güvenlik riskleri tamamen sağlayıcının sorumluluğundadır ve bu nedenle, bu başlıkta hem sağlayıcının sorumsuz tutumunu hem de ayrıntılı güvenlik açığı bilgilerini açıklayacağım.
Açıklanan güvenlik açığı için bir yama yayınlanana kadar, Cosmos ekosistemindeki doğrulayıcı operatörlerinin mümkün olduğunca düğümlerini yeniden başlatmaktan kaçınmaları şiddetle tavsiye edilir. Bu güvenlik açığı, blok senkronizasyon aşamasında tetiklenir.
Halihazırda konsensüs modunda olan düğümler normal şekilde çalışmaya devam edebilir; ancak, yeniden başlatılırlarsa ve blok senkronizasyon sürecine girerlerse, kötü niyetli bir eşe maruz kalmak bir kilitlenmeye yol açabilir ve bu da düğümün ağa yeniden katılmasını imkansız hale getirebilir.”
HackerOne aracılığıyla daha ciddi bir güvenlik açığını da bildirdiğini söyleyen siber güvenlik uzmanı bunun da ciddiye alınmadığını açıkladı.
İlk rapor 22 Şubat tarihinde gönderildi ve ertesi gün Cosmos ekibi saldırının uygulanabilir olmadığını açıkladı. İkinci rapor 4 Mart tarihinde gönderildi ve spam olarak işaretlendi. 1 aydan uzun süredir farklı şekillerde zafiyet konusunda uyarılarını yineleyen ancak ciddiye alınmayan p6rkdoye0n saldırı kodunu şimdilik paylaşmayacağını söylüyor. Cosmos (ATOM) fiyatı 1,77 dolara gerilese de şimdilik hızlı bir düşüş yaşamıyor.
