Se ha descubierto una vulnerabilidad de seguridad crítica en la red Cosmos, un componente de infraestructura vital del ecosistema de las criptomonedas.
La investigadora de seguridad Doyeon Park reveló públicamente una vulnerabilidad de “día cero” que descubrió en CometBFT, que se utiliza en la capa de consenso de Cosmos (ATOM).
Según la información compartida por Park, la vulnerabilidad está clasificada como CVSS 7.1 (nivel alto) y puede provocar que los nodos del ecosistema Cosmos se bloqueen durante el proceso de sincronización de bloques. Si bien esto no conlleva directamente el robo de activos, se considera un riesgo potencial que podría causar importantes interrupciones operativas en una red que protege activos por valor de más de 8.000 millones de dólares.
El investigador afirmó que siguió el proceso de Divulgación Coordinada de Vulnerabilidades (CVD, por sus siglas en inglés), que normalmente exige la divulgación responsable de vulnerabilidades, pero decidió hacer públicos sus hallazgos debido a problemas de comunicación y falta de cooperación con el equipo de desarrollo correspondiente. Park añadió que el desarrollador es responsable de cualquier riesgo de seguridad que pueda surgir durante este proceso.
Tras el anuncio, también se compartió una “guía de supervivencia” para los validadores de Cosmos. Según esta guía, se recomienda a los operadores de nodos que eviten reiniciar sus sistemas en la medida de lo posible hasta que se solucione la vulnerabilidad. Esto se debe a que la vulnerabilidad se activa principalmente durante la fase de sincronización de bloques. Si bien los nodos que actualmente operan en modo de consenso pueden seguir funcionando sin problemas, los nodos reiniciados podrían bloquearse y no poder reincorporarse a la red si se encuentran con un nodo malicioso.
Park también hizo afirmaciones relevantes sobre el origen de la divulgación. Según el investigador, el equipo de desarrollo argumentó que la vulnerabilidad no era explotable y solicitó que el informe se compartiera públicamente en GitHub, pero se negó a brindar una explicación detallada. Park afirmó entonces que proporcionó una “prueba de concepto” (PoC) a nivel de red que demostraba que la vulnerabilidad sí era explotable, pero no recibió más comentarios al respecto.
Por otro lado, también se afirmó que la vulnerabilidad con el código CVE-2025-24371, que previamente se había indicado que tenía el mismo efecto, fue reclasificada como “menor” por el equipo de desarrollo. Park argumentó que esto contradice los criterios de MITRE y FIRST, que establecen estándares internacionales.
El investigador también afirmó haber reportado una vulnerabilidad más grave a través de HackerOne, pero fue marcada como “spam” sin una revisión técnica. Park señaló que otros investigadores que participan en el programa de recompensas por detección de errores Cosmos han planteado problemas similares.
*Esto no constituye asesoramiento de inversión.
