Nhà nghiên cứu Doyeon Park đã phát hiện ra lỗ hổng bảo mật zero-day CometBFT nghiêm trọng, có thể làm đình trệ quá trình huy động 8 tỷ USD Cosmos Chains, làm nổi bật những lỗ hổng trong việc công khai thông tin về cơ sở hạ tầng tiền điện tử cốt lõi.
Một lỗ hổng bảo mật nghiêm trọng chưa được phát hiện (zero-day vulnerability) trong lớp Consensus CometBFT của Cosmos đã được nhà nghiên cứu bảo mật Doyeon Park công khai, làm dấy lên những câu hỏi mới về các hoạt động công bố thông tin phối hợp trong cơ sở hạ tầng blockchain cốt lõi. Park cho biết lỗi này, được xếp hạng CVSS 7.1 (Cao), có thể khiến các node trên các chuỗi dựa trên Cosmos bị kẹt trong giai đoạn đồng bộ hóa Block , có khả năng làm gián đoạn các mạng lưới đang cùng nhau bảo đảm giá trị hơn 8 tỷ đô la trên chuỗi .
Tôi đang công bố một lỗ hổng bảo mật 0-day trong lớp Consensus Cosmos (CometBFT).
– Công viên Doyeon (@p6rkdoye0n) Ngày 21 tháng 4 năm 2026
Đây là sự cố có mức độ nghiêm trọng CVSS 7.1 (Cao) có thể khiến các node trong hệ sinh thái Cosmos —nơi bảo vệ hơn 8 tỷ đô la tài sản—bị đình trệ trong giai đoạn đồng bộ hóa Block . Tuy nhiên, việc đánh cắp tài sản trực tiếp là… pic.twitter.com/89XeHmvjBK
Nhà nghiên cứu leo thang sau khi các cuộc đàm phán công bố thông tin thất bại.
Trong một bài đăng trên X, Park viết rằng vấn đề này không cho phép "trộm cắp tài sản trực tiếp", nhưng cảnh báo rằng việc tạm dừng hoặc trì hoãn quá trình tạo Block trên nhiều chuỗi vẫn là một rủi ro nghiêm trọng về mặt vận hành và kinh tế đối với các trình xác thực, ứng dụng và người dùng. Nhà nghiên cứu nói thêm rằng họ chỉ quyết định công khai lỗ hổng này sau khi các nỗ lực giải quyết vấn đề thông qua các kênh công bố lỗ hổng phối hợp tiêu chuẩn đã thất bại do "thiếu sự hợp tác" từ phía nhà cung cấp.
Tính ổn định Consensus đang được xem xét kỹ lưỡng.
Vì CometBFT là nền tảng cơ Consensus cho nhiều chuỗi dựa trên Cosmos SDK, nên sự tắc nghẽn trong quá trình đồng Block có thể gây ra hiệu ứng domino trong toàn bộ hệ sinh thái, ảnh hưởng đến mọi thứ từ các giao dịch chuyển tiền Inter-Blockchain Communication (IBC) đến các giao thức DeFi được xây dựng trên các mạng bị ảnh hưởng. Ngay cả khi không có tiền gặp rủi ro ngay lập tức, việc tắc nghẽn nút kéo dài cũng có thể gây ra các tình huống khẩn cấp về quản trị, tranh luận Slashing phần và gián đoạn thanh khoản, đặc biệt là trên các chuỗi đóng vai trò là trung tâm định tuyến cốt lõi hoặc lưu trữ các stablecoin định giá bằng đô la.
Quyết định công khai thông tin của Park làm nổi bật sự căng thẳng giữa tính minh bạch của mã nguồn mở và nhu cầu âm thầm vá các lỗi nghiêm trọng trong các hệ thống hiện đang bảo vệ các quỹ tài sản trị giá hàng tỷ đô la.
Đối với các bên liên quan Cosmos , sự cố này có khả năng thúc đẩy các lời kêu gọi về quy trình ứng phó an ninh được chính thức hóa hơn và kỳ vọng rõ ràng hơn về thời gian công bố các lỗ hổng ở lớp Consensus.
