이번 코스모스 허브의 리델리게이션 취약점에 대해서

코스모스 허브에서 자신의 아톰을 위임하고 위임을 철회할 때 21일의 시간을 기다려야만 합니다. 하지만 이미 위임된 아톰을 다른 검증인에게 위임하는 재위임의 경우에는 동일한 검증인에 한해서 7번까지 즉시 재위임이 가능합니다.

하지만 이러한 시스템을 우회할 수 있는 취약점이 발견되었습니다. 만약 악의적인 사용자가 100위밖의 검증인에게로 재위임을 한 후 언본딩을 시도하면 언본딩 기간을 생략하고 바로 언본딩에 성공하게 되는 취약점이 있었습니다.

코스모스 팀의 Jack Zampolin께서 이 취약점을 악용했을지도 모르는 트랜잭션을 찾는 간단한 프로그램을 공유해주셨습니다. 이 프로그램을 통한 테스트 결과 약 7250개의 아톰이 이러한 취약점을 통해서 언본딩 기간을 우회했을 수 있습니다. 아톰 6달러 기준 43,500달러(약 5,200만원)의 아톰이 이 취약점을 이용했을 수 있습니다.

취약점이 발생한 것은 좋지 않은 일이지만 이 취약점이 빨리 발견되어 현재 코스모스 네트워크에 거의 피해를 입히지 않았다는 것은 매우 다행인 일입니다. 이번 취약점을 통해서 저희 검증인들은 취약점이 발생한 상황에서 서로 협력해서 빠르게 대처하는 방법을 배웠습니다. 이 취약점이 악용되면 즉시 네트워크에 악영향을 끼칠 수 있기 때문에 먼저 공개하지 못하고 검증인들이 비공개로 처리하게 되었습니다.

Node A-Team (노드명: ATEAM)은 Cosmos, IRISnet, Terra를 포함한 Cosmos-SDK, 텐더민트 기반 블록체인의 검증인입니다. Node A-Team은 풍부한 경험을 바탕으로 코스모스 생태계에 기여하고 최고의 보안으로 노드를 운영하고 있습니다.

> ATEAM History
— Cosmos: “Game of Stakes” — Never Jailed
— IRISnet: “FUXI Betanet” — Reward Winner
— Terra-project: “Genesis Drill” — Top Tier

[ATEAM 검증인 주소: cosmosvaloper14l0fp639yudfl46zauvv8rkzjgd4u0zk2aseys]