CertiK：解构Cosmos生态安全 助力Web3星际之旅

来源：CertiK

上周，由CertiK团队发布的《Cosmos生态安全指南》在Web3媒体Meta Era首发，并得到众多媒体转发，获得了Web3社区的广泛关注。

作为全球最大，最为知名的区块链生态之一，Cosmos专注于提升区块链互操作性，实现不同区块链之间的高效互通。包括Celestia、dYdX v4在内的一系列头部项目都基于Cosmos SDK和IBC协议进行搭建。

随着Cosmos开发组件受到更多开发者青睐，Cosmos生态的安全问题也势必会带来更广泛的影响。例如，此前Cosmos SDK的Dragonfruit漏洞就影响了多个主流公链的正常运行。由于Cosmos生态系统基础组件的分散性，开发者需要根据不同的功能需求使用或者扩展不同的组件，导致Cosmos生态中的安全问题也存在分散、多样的特点。一份帮助开发者结构性了解Cosmos生态安全现状与应对方案的研究，也就显得十分必要。

CertiK团队独家发布的《Cosmos生态安全指南》通过读者友好的分类细致剖析了Cosmos生态不同组件的安全场景。此报告不仅包括Cosmos生态以往重大安全漏洞的分析，还将一些常见的安全漏洞根据起因，效果，代码位置等分类，最大程度地为Cosmos生态开发者提供安全指引，并为安全审计人员提供学习和审计Cosmos安全问题的索引资料。

一直以来，CertiK团队都在通过持续的研究和挖掘，协助提升Cosmos与整个Web3的生态安全。我们将定期为大家带来各类项目安全报告和技术研究，欢迎持续关注！如有任何疑问，可随时与我们取得联系。

以下是《Cosmos生态安全指南》全文。

《Cosmos 生态安全指南》

概况

Cosmos是一款开源、开放、高度可扩展的区块链跨链网络，也是全球最为知名的区块链生态之一。Cosmos是一个由CometBFT（原Tendermint团队）推出的支持跨链交互的异构网络，由多条独立、并行的区块链组成去中心化网络，其愿景是打破信息的孤岛效应，实现不同区块链之间的互操作性。在当前多链时代，实现跨链交互已经成为区块链行业的迫切需求。

Cosmos提供了一种高效的跨链模式，特别适用于专注特定垂直领域的公链。通过提供模块化的区块链基础设施，Cosmos为各应用开发者提供了便利，使其能够选择并使用符合其需求的公链。

Cosmos生态系统中的应用程序和协议采用IBC（区块链间通信协议）进行连接，实现了各个独立区块链之间的跨链交互，使资产和数据能够自由流通。Cosmos的愿景是建立一个区块链互联网，为大量自主、易于开发的区块链提供扩展和交互的可能性。

长期以来，CertiK对Cosmos生态环境保持了充分的关注和研究。我们在Cosmos生态安全问题上积累了充足的经验，在本研究报告中，将介绍我们对Cosmos生态系统安全的探索和研究成果，主要将重点集中在Cosmos SDK安全、IBC协议安全、CometBFT安全和CosmWasm安全四个方向，讨论的对象目标会从Cosmos基础组件延伸到Cosmos基础链或应用链，通过对类似问题的分析和扩展，以自下而上的方式向读者展现Cosmos生态中关于链自身涉及到的安全要点。

由于Cosmos生态的复杂多样性，存在的安全问题也具备多样性的特征，因此这份研究报告并没有将所有的安全漏洞类型都涵盖其中，仅探讨更具有典型特征且对Cosmos生态链存在更大危害性的漏洞。如果想要了解更多关于其他安全问题的详情，欢迎联系CertiK安全工程师交流探讨。

背景

CometBFT：跨链可扩展性的基石

CometBFT是一项创新的共识算法，包括底层共识引擎（CometBFT Core）和通用应用程序区块链接口（ABCI）两个主要组件。其共识算法采用了PBFT+Bonded PoS混合共识，确保节点同步记录交易。作为Interchain可扩展性的核心组成部分，CometBFT通过验证者共识，维护Interchain生态系统的安全性、去中心化和完整性。

Cosmos SDK：模块化和新功能

Cosmos SDK是一个帮助开发者加速开发进程的工具包，提供了模块化和可插拔的特性，利用Cosmos SDK，开发者可以基于CometBFT共识算法构建自己的区块链或功能组件，实现便捷开发并缩短开发周期。目前已在许多区块链项目中得到采用，如Cronos、Kava和最近推出的dYdX V4。未来的发展计划将专注于模块化和引入新功能，使开发人员能够创建更复杂、模块化的应用程序，培育更广泛、更强大的生态系统。

IBC协议：增强互操作性和可扩展性

IBC协议（区块链间通信协议）能够在区块链之间实现安全、去中心化且无需许可的数据传输。由于Cosmos是由多条独立并行的区块链组成的去中心化网络且利用中继技术实现不同区块链之间的跨链，因此IBC可以说是整个项目最核心的部分。Interchain基金会目前重点关注两个主题：可扩展性和可用性。通过提高IBC的可扩展性和互操作性，Cosmos将进一步增强其生态系统的容量，从而实现区块链、应用程序和智能合约之间的无缝交互。

CosmWasm：解锁去中心化、无许可部署