В коде стейкинга Babylon обнаружена уязвимость, которая позволяет злоумышленникам намеренно опускать поле хэша при публикации блоков. Это влияет на механизм подписи блоков — BLS vote extension — и может привести к проблемам в процессе достижения консенсуса между валидаторами.
Что такое уязвимость в коде стейкинга Babylon?
Уязвимость даёт возможность отправлять голосовые расширения без значения поля хэша блока, которое указывает, за какой именно блок голосуют валидаторы. При этом отсутствие этого поля ломает нормальный порядок проверки голосов и может вызвать сбои в работе других валидаторов.
В результате такие сбои особенно чувствительны на ключевых этапах консенсуса, например на границах эпох, и при массовом воздействии могут замедлить создание блоков в сети. Разработчики предупредили, что уязвимость потенциально может быть использована злоумышленниками, если останется неустранённой.
Технические детали уязвимости
Влияние на BLS vote extension
Уязвимость затрагивает схему подписи блоков Babylon, называемую BLS vote extension, которую система использует для подтверждения согласия валидаторов по блоку. Именно через эту схему происходит верификация того, что валидаторы голосовали за один и тот же блок.
Как это нарушает консенсус
Когда голос приходит без поля хэша, другие валидаторы могут некорректно обработать такой голос в ходе проверок консенсуса. Это может привести к ошибкам в критичных проверках на границах эпох и, в отдельных случаях, к краху валидаторов.
Роль поля хэша блока
Поле хэша сообщает, за какой блок конкретно отдан голос, и служит частью логики проверки соответствия голосов. Пропуск этого поля делает голос недетерминированным с точки зрения проверяющего кода, что и создаёт окно для атаки.
Кто обнаружил уязвимость?
Уязвимость обнаружил и описал в публикации псевдонимный участник GrumpyLaurie55348, указав на прерывистые сбои валидаторов на границах эпох и возможное замедление создания соответствующих блоков. Описание открытого сообщения помогло привлечь внимание разработчиков к проблеме.
Из публикаций также следует, что исследователи и сообщество следят за ситуацией, а внешние издания связывались с Babylon за разъяснениями. На момент публикации официального комментария от Babylon не было получено.
Реакция Babylon и дальнейшие шаги
Публично доступная информация указывает на то, что уязвимость была раскрыта и обсуждается в сообществе разработчиков. Разработчики предупреждали о потенциальной возможности злоупотребления этой проблемы в случае её оставления без исправления.
Пока официальных детальных инструкций по исправлению от Babylon в открытых сообщениях не видно, но публикация уязвимости обычно приводит к приоритетной разработке патчей и рекомендациям для операторов нод и валидаторов.
Инвестиции и партнёрства Babylon
Проект продолжает расширять экосистему вокруг Bitcoin‑стейкинга: Babylon получил инвестиции в размере $15 млн от a16z Crypto, что должно поддержать развитие инфраструктуры. Подробнее об инвестициях можно прочитать в заметке о том, как проект получил $15 млн.
Кроме того, Babylon сотрудничает с Aave Labs для внедрения кредитования под обеспечение BTC. В дополнение к этим связям проект участвует в ряде партнёрских объявлений, включая недавние стратегические соглашения в экосистеме, о чём можно узнать из материала о стратегическом партнёрстве.
Почему это важно
Если вы управляете валидатором или участвуете в стейкинге, эта уязвимость напрямую затрагивает надёжность проверок голосов и стабильность работы ноды. При массовых сбоях валидаторов возможны замедления в производстве блоков, что отражается на времени подтверждения и общей работе сети.
Для майнера с небольшим количеством узлов это может означать необходимость внимательнее следить за логами и обновлениями нод, а для крупных операторов — пересмотреть процессы мониторинга и аварийного реагирования. Даже если вы напрямую не запускаете валидатор, проблемы с консенсусом влияют на весь экосистемный уровень услуг.
Что делать?
Действия ниже подходят как для частного майнера с несколькими устройствами, так и для управляющего пулом валидаторов: они помогают минимизировать риски, связанные с обнаруженной уязвимостью.
- Следить за официальными объявлениями Babylon и репозиториями с исправлениями, чтобы как можно быстрее применить релизные патчи.
- Наладить мониторинг логов нод и предупреждений о сбоях на границах эпох, чтобы оперативно обнаруживать аномалии в работе валидаторов.
- Иметь под рукой инструкции по восстановлению и резервные конфигурации нод; при подозрении на проблему временно выводить ноду из ротации до применения исправления.
- Поддерживать контакт с сообществом и независимыми репозиториями новостей, чтобы не пропустить рекомендации разработчиков и проверенные инструкции по обновлению.
FAQ
Что позволяет делать эта уязвимость? Уязвимость позволяет злоумышленникам опускать поле хэша в расширении голосования BLS vote extension, что может привести к сбоям валидаторов и замедлению производства блоков.
Кто сообщил об уязвимости? Уязвимость обнаружил псевдонимный участник GrumpyLaurie55348, который описал возможные прерывания работы валидаторов на границах эпох.
