Kripto para ekosisteminin önemli altyapılarından biri olan Cosmos ağında kritik bir güvenlik açığı gündeme geldi.
Güvenlik araştırmacısı Doyeon Park, Cosmos’un (ATOM) konsensüs katmanında kullanılan CometBFT üzerinde tespit ettiği “0-day” (sıfır gün) açığını kamuoyuna açıkladı.
Park’ın paylaştığı bilgilere göre söz konusu açık, CVSS 7.1 (yüksek seviye) olarak derecelendiriliyor ve Cosmos ekosisteminde yer alan node’ların blok senkronizasyon sürecinde kilitlenmesine neden olabiliyor. Bu durum doğrudan varlık hırsızlığına yol açmasa da, 8 milyar doların üzerinde varlığı güvence altına alan ağda ciddi operasyonel aksamalara neden olabilecek potansiyel bir risk olarak değerlendiriliyor.
Araştırmacı, normal şartlarda güvenlik açıklarının sorumlu açıklanmasını öngören Koordineli Zafiyet Açıklama (CVD) sürecini takip ettiğini, ancak ilgili geliştirici ekiple yaşanan iletişim sorunları ve işbirliği eksikliği nedeniyle bulgularını kamuya açıklama kararı aldığını belirtti. Park, bu süreçte ortaya çıkabilecek güvenlik risklerinin sorumluluğunun geliştirici tarafa ait olduğunu ekledi.
Açıklamanın ardından Cosmos doğrulayıcılarına yönelik bir “hayatta kalma rehberi” de paylaşıldı. Buna göre, açık giderilene kadar node operatörlerinin mümkün olduğunca sistemlerini yeniden başlatmamaları öneriliyor. Zira açık, özellikle blok senkronizasyon aşamasında tetikleniyor. Halihazırda konsensüs modunda çalışan node’lar sorunsuz şekilde çalışmaya devam edebilirken, yeniden başlatılan node’lar kötü niyetli bir eş (peer) ile karşılaştığında kilitlenerek ağa yeniden katılamayabiliyor.
Park ayrıca açıklamanın arka planına ilişkin dikkat çekici iddialarda bulundu. Araştırmacıya göre geliştirici ekip, açığın uygulanabilir olmadığını savunarak raporun GitHub üzerinde kamuya açık şekilde paylaşılmasını talep etti, ancak detaylı açıklama isteğini reddetti. Bunun üzerine Park, ağ seviyesinde bir “proof-of-concept” (PoC) sunarak açığın gerçekten kötüye kullanılabilir olduğunu gösterdiğini ifade etti, ancak bu noktadan sonra herhangi bir geri dönüş alamadığını belirtti.
Öte yandan, daha önce aynı etkiye sahip olduğu belirtilen CVE-2025-24371 kodlu zafiyetin geliştirici ekip tarafından “önemsiz” olarak yeniden sınıflandırıldığı da öne sürüldü. Park, bu durumun uluslararası standartları belirleyen MITRE ve FIRST kriterleriyle çeliştiğini savundu.
Ayrıca araştırmacı, daha ciddi bir güvenlik açığını HackerOne üzerinden bildirdiğini, ancak teknik inceleme yapılmadan “spam” olarak işaretlendiğini iddia etti. Park, benzer sorunların Cosmos hata ödül programına katılan diğer araştırmacılar tarafından da dile getirildiğini belirtti.
*Yatırım tavsiyesi değildir.
