作爲全球最大，最爲知名的區塊鏈生態之一，Cosmos生態專注於提升區塊鏈互操作性，實現不同區塊鏈之間的高效互通。Cosmos爲开發者提供模塊化的Cosmos SDK，幫助开發者快速搭建專屬於特定應用的區塊鏈，包括廣受用戶關注的dYdX V4在內的諸多應用均據此進行搭建。因此Cosmos生態的安全問題往往具備廣泛的影響力。例如Cosmos SDK 曾發生的Dragonfruit漏洞就影響了多個主流公鏈的正常運行，導致鏈开發人員不得不暫停鏈的正常運行以採取漏洞修復措施。由CertiK研究團隊發布的《Cosmos生態安全指南》全面剖析了Cosmos生態中關鍵組件的安全狀況，針對以往發現的安全漏洞進行歸納分類，爲Cosmos生態开發者和用戶總結出通用的漏洞模型，審計思路和需要重點關注的安全問題，助力提升Cosmos生態與整個區塊鏈行業的安全水平。

由於Cosmos生態系統基礎組件的分散性，鏈开發者需要根據不同的功能需求使用或者擴展不同的組件，導致生態上的安全問題存在多樣性的特點。該報告不僅是對以往重大安全漏洞的分析，還將一些常見的安全漏洞根據漏洞起因，效果，代碼位置等分類，以安全手冊的形式最大程度地爲Cosmos生態开發者提供安全指南，並爲相關的安全審計人員提供學習和審計Cosmos安全問題的途徑。

目前，Cosmos生態开發者最常用的基礎組件是Cosmos SDK和IBC協議（The Inter-Blockchain Communication protocol），這兩者也是开發者最常使用的擴展和添加鏈自身邏輯的組件。

對於Cosmos SDK來說，從危險程度和影響範圍考慮，我們主要關注Critical和Major的安全漏洞，他們通常可以造成以下風險：

1. 鏈停止運行

2. 資金損失

3. 影響系統狀態或正常運行

而這些危險的起因往往是以下幾種類型的安全漏洞：

1. 拒絕服務

2. 錯誤的狀態設置

3. 驗證缺失或者不合理

4. 唯一性問題

5. 共識算法問題

6. 實現上的邏輯漏洞

7. 語言特性問題

而對於IBC來說，常見漏洞分類見下：

1. 命名漏洞

•  字符串處理漏洞

•  字節碼處理漏洞

2. 傳輸過程漏洞

•  數據包順序漏洞

•  數據包超時漏洞

•  數據包認證漏洞

•  其他數據包漏洞

3. 邏輯漏洞

•  狀態更新漏洞

•  投票共識等漏洞

•  其他邏輯漏洞

4. Gas消耗漏洞

盡管Cosmos上的安全問題呈現多樣性，但從積極角度考慮，Cosmos生態相關的开發流程正在逐步規範化，因此涉及到的安全對象和攻擊入口更加確定，從而爲Cosmos生態安全審計人員對鏈的審計思路提供了一個更清晰的框架。《Cosmos生態安全指南》出於提升Cosmos生態系統安全性的愿景，將細致剖析這些安全場景，詳情內容可下載研究報告閱讀。

CertiK團隊一直以來都在通過持續的研究和挖掘，致力於協助提升Cosmos以及整個Web3生態的安全性，並將定期輸出各類項目安全報告和技術研究，歡迎大家持續關注！如有任何疑問，可隨時與我們取得聯系。

閱讀及下載報告全文：https://indd.adobe.com/view/91035407-4f21-4383-9485-a56394d9f95f

公衆號鏈接：https://mp.weixin.qq.com/s/RFHGOZNKMYCJ6ntvCNokFQ