quocvan205
New member
** Ethermint sửa chữa một lỗ hổng quan trọng có thể có giá 8 triệu đô la **
** Ethermint **, blockchain Lớp 1 tương thích Ethereum cho hệ sinh thái Cosmos, đã vá một lỗ hổng quan trọng có thể được khai thác để thoát phí khí từ các giao dịch.
Lỗ hổng được phát hiện bởi một thành viên của nhóm bảo mật của Jump Crypto và được báo cáo cho các bên bị ảnh hưởng vào ngày 13 tháng 4. Một bản vá đã được thực hiện để chặn các giao dịch với thông báo "MsGethereumTx", ngăn chặn vectơ của các cuộc tấn công đối với chuỗi và các dự án trong hệ sinh thái.
Nhóm Cronos đã trao tiền thưởng $ 25.000 cho các nỗ lực phát hiện và xử lý khoảng cách.
** Làm thế nào lỗ hổng hoạt động **
Lỗ hổng có nguồn gốc từ quản lý truyền dữ liệu của Ethermint, cụ thể là sự tương tác giữa MsGethereumTx và MSGEXEC.
Thông báo dữ liệu dưới dạng MSGEXEC được sử dụng trong Bộ công cụ Cosmos, SDK để cho phép một tài khoản có thể được cấp phép cho tài khoản khác.Tuy nhiên, tính năng này không được triển khai một cách an toàn, cho phép kẻ tấn công vượt qua rào cản bảo mật của "Ethgasconsumerdecorator", từ đó có thể tự do rút phí khí từ các giao dịch.
Trong báo cáo kỹ thuật chi tiết, kẻ tấn công có thể chèn hoàn toàn tin nhắn MsGethereumTx bên trong tin nhắn MSGEXEC.Phương pháp này có thể dễ dàng vượt qua cơ chế kiểm soát bảo mật "Ethasconsconsumedecorator" và giúp kẻ tấn công mà không phải trả phí gas cho các giao dịch của mình.
**Giảm nhẹ**
Một bản vá đã được thực hiện để chặn các giao dịch với thông báo "MsGethereumTx".Bản vá này sẽ ngăn chặn các cuộc tấn công vector đối với chuỗi và các dự án trong hệ sinh thái.
**Sự va chạm**
Lỗ hổng có thể đã được khai thác để thoát phí khí từ các giao dịch.Theo ước tính từ báo cáo, khoảng cách này nếu không được phát hiện, nó có thể dẫn đến thiệt hại lên tới 8 số.
**Người giới thiệu**
* [Bản vá Ethermint] (build(deps): bump golang.org/x/text from 0.6.0 to 0.7.0 by dependabot[bot] · Pull Request #1366 · evmos/evmos)
* [Báo cáo kỹ thuật của Jump Crypto] (https://github.com/jump-crypto/ethe.../reports/evmos-msgethereumtx-vulnerability.md)
* [SUI Blockchain đã đạt được thỏa thuận hợp tác với Alibaba Cloud] (https://www.tricksmmo.com/sui-blockchain-croeached-a-cooperation-agement-with-alibaba-cloud/)
* [Nhà phát triển Blockchain muốn mua 96 triệu USD từ FTX] (https://www.tricksmmo.com/blockchain-developerer
=======================================
**Ethermint fixes a critical vulnerability that could have cost $8M**
**Ethermint**, the Ethereum-compatible layer 1 blockchain for the Cosmos ecosystem, has patched a critical vulnerability that could have been exploited to drain gas fees from transactions.
The vulnerability was discovered by a member of Jump Crypto's security team and reported to the affected parties on April 13. A patch was implemented to block transactions with the "MsgEthereumTx" message, which prevents the vector of attacks towards the chain and projects in the ecosystem.
The Cronos team awarded $25,000 Bug Bounty for efforts to detect and handle the gap.
**How the vulnerability worked**
The vulnerability originated from Ethermint's data transmission management, namely the interaction between MSGethereumtx and MSGEXEC.
Data messages in the form of MSGEXEC are used in the Cosmos toolkit, SDK to allow an account that can be licensed for another account. However, this feature is not safely deployed, allowing the attacker to cross the security barrier of "EthGasConsumerDecorator", from which can be freely withdrawing gas fees from transactions.
In the detailed technical report, the attacker can completely insert a MSGethereumtx message inside a MSGEXEC message. This method can easily overcome the "ETHASCONSCONSumedecorator" security control mechanism and help the attacker without paying gas fees for his transactions.
**Mitigation**
A patch has been implemented to block transactions with the "MsgEthereumTx" message. This patch will prevent the vector attacks towards the chain and projects in the ecosystem.
**Impact**
The vulnerability could have been exploited to drain gas fees from transactions. According to estimates from the report, this gap if not detected, it can lead to damage up to 8 numbers.
**References**
* [Ethermint patch](https://github.com/evmos/evmos/pull/1366)
* [Jump Crypto's technical report](https://github.com/jump-crypto/ethermint-security-research/blob/main/reports/evmos-msgethereumtx-vulnerability.md)
* [Sui Blockchain reached a cooperation agreement with Alibaba Cloud](https://www.tricksmmo.com/sui-blockchain-reached-a-cooperation-agreement-with-alibaba-cloud/)
* [Blockchain developer wants to buy 96 million USD from FTX](https://www.tricksmmo.com/blockchain-developer-wants-to-buy-96-million-usd-from-ftx/)
** Ethermint **, blockchain Lớp 1 tương thích Ethereum cho hệ sinh thái Cosmos, đã vá một lỗ hổng quan trọng có thể được khai thác để thoát phí khí từ các giao dịch.
Lỗ hổng được phát hiện bởi một thành viên của nhóm bảo mật của Jump Crypto và được báo cáo cho các bên bị ảnh hưởng vào ngày 13 tháng 4. Một bản vá đã được thực hiện để chặn các giao dịch với thông báo "MsGethereumTx", ngăn chặn vectơ của các cuộc tấn công đối với chuỗi và các dự án trong hệ sinh thái.
Nhóm Cronos đã trao tiền thưởng $ 25.000 cho các nỗ lực phát hiện và xử lý khoảng cách.
** Làm thế nào lỗ hổng hoạt động **
Lỗ hổng có nguồn gốc từ quản lý truyền dữ liệu của Ethermint, cụ thể là sự tương tác giữa MsGethereumTx và MSGEXEC.
Thông báo dữ liệu dưới dạng MSGEXEC được sử dụng trong Bộ công cụ Cosmos, SDK để cho phép một tài khoản có thể được cấp phép cho tài khoản khác.Tuy nhiên, tính năng này không được triển khai một cách an toàn, cho phép kẻ tấn công vượt qua rào cản bảo mật của "Ethgasconsumerdecorator", từ đó có thể tự do rút phí khí từ các giao dịch.
Trong báo cáo kỹ thuật chi tiết, kẻ tấn công có thể chèn hoàn toàn tin nhắn MsGethereumTx bên trong tin nhắn MSGEXEC.Phương pháp này có thể dễ dàng vượt qua cơ chế kiểm soát bảo mật "Ethasconsconsumedecorator" và giúp kẻ tấn công mà không phải trả phí gas cho các giao dịch của mình.
**Giảm nhẹ**
Một bản vá đã được thực hiện để chặn các giao dịch với thông báo "MsGethereumTx".Bản vá này sẽ ngăn chặn các cuộc tấn công vector đối với chuỗi và các dự án trong hệ sinh thái.
**Sự va chạm**
Lỗ hổng có thể đã được khai thác để thoát phí khí từ các giao dịch.Theo ước tính từ báo cáo, khoảng cách này nếu không được phát hiện, nó có thể dẫn đến thiệt hại lên tới 8 số.
**Người giới thiệu**
* [Bản vá Ethermint] (build(deps): bump golang.org/x/text from 0.6.0 to 0.7.0 by dependabot[bot] · Pull Request #1366 · evmos/evmos)
* [Báo cáo kỹ thuật của Jump Crypto] (https://github.com/jump-crypto/ethe.../reports/evmos-msgethereumtx-vulnerability.md)
* [SUI Blockchain đã đạt được thỏa thuận hợp tác với Alibaba Cloud] (https://www.tricksmmo.com/sui-blockchain-croeached-a-cooperation-agement-with-alibaba-cloud/)
* [Nhà phát triển Blockchain muốn mua 96 triệu USD từ FTX] (https://www.tricksmmo.com/blockchain-developerer
=======================================
**Ethermint fixes a critical vulnerability that could have cost $8M**
**Ethermint**, the Ethereum-compatible layer 1 blockchain for the Cosmos ecosystem, has patched a critical vulnerability that could have been exploited to drain gas fees from transactions.
The vulnerability was discovered by a member of Jump Crypto's security team and reported to the affected parties on April 13. A patch was implemented to block transactions with the "MsgEthereumTx" message, which prevents the vector of attacks towards the chain and projects in the ecosystem.
The Cronos team awarded $25,000 Bug Bounty for efforts to detect and handle the gap.
**How the vulnerability worked**
The vulnerability originated from Ethermint's data transmission management, namely the interaction between MSGethereumtx and MSGEXEC.
Data messages in the form of MSGEXEC are used in the Cosmos toolkit, SDK to allow an account that can be licensed for another account. However, this feature is not safely deployed, allowing the attacker to cross the security barrier of "EthGasConsumerDecorator", from which can be freely withdrawing gas fees from transactions.
In the detailed technical report, the attacker can completely insert a MSGethereumtx message inside a MSGEXEC message. This method can easily overcome the "ETHASCONSCONSumedecorator" security control mechanism and help the attacker without paying gas fees for his transactions.
**Mitigation**
A patch has been implemented to block transactions with the "MsgEthereumTx" message. This patch will prevent the vector attacks towards the chain and projects in the ecosystem.
**Impact**
The vulnerability could have been exploited to drain gas fees from transactions. According to estimates from the report, this gap if not detected, it can lead to damage up to 8 numbers.
**References**
* [Ethermint patch](https://github.com/evmos/evmos/pull/1366)
* [Jump Crypto's technical report](https://github.com/jump-crypto/ethermint-security-research/blob/main/reports/evmos-msgethereumtx-vulnerability.md)
* [Sui Blockchain reached a cooperation agreement with Alibaba Cloud](https://www.tricksmmo.com/sui-blockchain-reached-a-cooperation-agreement-with-alibaba-cloud/)
* [Blockchain developer wants to buy 96 million USD from FTX](https://www.tricksmmo.com/blockchain-developer-wants-to-buy-96-million-usd-from-ftx/)
