Cảnh báo an ninh: Altcoin xuất hiện lỗ hổng lớn nhưng dev bị nghi “bỏ qua”

Lỗ hổng nghiêm trọng trong mạng Cosmos

Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong hệ sinh thái Cosmos (ATOM), gây lo ngại lớn cho cộng đồng.

Nhà nghiên cứu bảo mật Doyeon Park đã công bố lỗ hổng “0-day” trong CometBFT – thành phần quan trọng của cơ chế đồng thuận.

Lỗ hổng này được đánh giá ở mức CVSS 7.1 (nghiêm trọng) và có thể khiến các node bị treo trong quá trình đồng bộ block.

Dù không trực tiếp gây mất tài sản, nhưng sự cố có thể ảnh hưởng đến hệ thống đang bảo vệ hơn 8 tỷ USD, gây gián đoạn vận hành trên diện rộng.

Tranh cãi quanh việc công bố lỗ hổng

Theo Park, lỗ hổng ban đầu được xử lý theo quy trình công bố có trách nhiệm (CVD), nhưng đã được công khai sớm do thiếu hợp tác từ phía đội ngũ phát triển.

Nhà nghiên cứu cho biết phía phát triển cho rằng lỗi “không thể khai thác”, nhưng không cung cấp giải thích chi tiết.

Sau đó, Park đã đưa ra bằng chứng PoC ở cấp độ mạng, chứng minh lỗ hổng có thể bị khai thác, nhưng không nhận được phản hồi thêm.

Ngoài ra, một lỗ hổng liên quan trước đó (CVE-2025-24371) bị đánh giá “nhẹ” cũng gây tranh cãi, khi Park cho rằng điều này không phù hợp với tiêu chuẩn quốc tế.

I’m disclosing a 0-day vulnerability in the Cosmos consensus layer (CometBFT).

This is a CVSS 7.1 (High) severity issue that can cause nodes in the Cosmos ecosystem—which secures over $8B+ in assets—to stall during the block synchronization phase. However, direct asset theft is… pic.twitter.com/89XeHmvjBK

— Doyeon Park (@p6rkdoye0n) April 21, 2026

Cảnh báo cho validator và rủi ro vận hành

Sau khi sự việc được công bố, một “hướng dẫn sinh tồn” đã được phát hành cho các validator trong mạng Cosmos.

Theo đó, các nhà vận hành được khuyến cáo không nên restart node, vì lỗ hổng chủ yếu bị kích hoạt trong quá trình đồng bộ lại dữ liệu.

Các node đang hoạt động bình thường vẫn có thể tiếp tục, nhưng nếu restart và kết nối với node độc hại, chúng có nguy cơ bị treo và không thể tham gia lại mạng.

Sự cố này cho thấy một vấn đề lớn trong crypto: ngay cả khi tài sản không bị đánh cắp, các rủi ro vận hành và đồng thuận vẫn có thể ảnh hưởng nghiêm trọng đến toàn bộ hệ sinh thái.