报告该漏洞的公司称，修复后的 Cosmos 漏洞可能带来 1.5 亿美元风险

参与 Wormhole 互操作性协议开发的安全公司 Asymmetric Research 披露了影响 Cosmos 区块链生态系统的漏洞细节，该公司称该漏洞可能使超过 1.5 亿美元面临风险。

Asymmetric 向 Cosmos 开发团队私下披露了这个漏洞——一个“重入漏洞”，并表示在任何人有机会利用它之前就已经解决了这个问题。

Asymmetric 在一份声明中表示：“我们通过 Cosmos HackerOne Bug Bounty 计划私下披露了该漏洞，目前该问题已得到修复。没有发生恶意利用，也没有资金损失。”

Amulet 首席执行官 Jessy Irwin 在一封电子邮件中证实，该公司受 Interchain 基金会委托，负责运行漏洞赏金计划并协调整个 Cosmos 生态系统的安全。Amulet 已报告此问题，并就此事发布了一份咨询说明。

Cosmos 首创

Cosmos 生态系统是一个共享一些代码和核心模块的区块链社区。尽管该漏洞并未导致资金损失，但意义重大，因为它标志着该生态系统首次被发现存在可重入漏洞——而该生态系统被广泛认为是最值得信赖和最安全的区块链技术平台之一。

大多数 Cosmos 链的主要组成部分是跨区块链通信协议 (IBC)，该技术允许区块链轻松地相互通信并来回发送资产。Asymmetric 发现的漏洞位于 ibc-go 中，这是许多 Cosmos 链使用的 IBC 参考实现。

Irwin 表示：“在协调这一问题期间，Amulet 和 IBC-go 团队都进行了独立的基于风险的影响评估，以确定可能受到影响的各方，以减轻其影响。”

该漏洞是一种可重入错误，理论上，它可以让攻击者在 IBC 连接的链上铸造无限量的代币，比如 Osmosis，而 Osmosis 拥有 Cosmos 上最大的去中心化金融 (DeFi) 生态系统之一。

Asymmetric 在周二发布的一篇博客文章中表示：“虽然这个漏洞从一开始就存在于 ibc-go 中，但直到 Cosmos SDK 生态系统的最新发展，它才变得可以被利用。”随着“IBC 中间件”的出现，该漏洞被解锁——使用 CosmWasm（一种基于 WebAssembly 的智能合约运行时）构建的第三方应用程序，允许跨区块链使用代币。

“这一漏洞凸显了对跨链安全风险进行更多研究的迫切需要，以便更好地保护多链生态系统，”Asymmetric 首席执行官、前风险投资公司 Jump Crypto 安全主管 Jonathan Claudius 表示。“此案例证明了我们的能力以及持续的努力，以发现和消除可能破坏数字经济的生存威胁。”