Güvenlik araştırmacısı Doyeon Park, Cosmos ekosisteminin konsensüs katmanı olan CometBFT'de ciddi bir sıfır gün açığı keşfetti ve bunu X platformu üzerinden kamuoyuyla paylaştı. CVSS puanı 7,1 olan bu güvenlik açığı, "yüksek risk" kategorisinde değerlendiriliyor. Açığın doğrudan fon çalınmasına yol açmadığı belirtilse de Cosmos ağındaki düğümlerin blok senkronizasyonu sırasında kilitlenmesine neden olabildiği ifade ediliyor. Söz konusu güvenlik açığı, bugün itibarıyla 8 milyar doların üzerinde varlığı koruyan bir ekosistemi tehdit ediyor.
Park'ın bu açığı kamuoyuyla paylaşmasının altında yatan neden, teknik bir bulgunun ötesinde bir süreç krizi gibi duruyor. Araştırmacı, sorumlu ifşaat için sektörde yaygın kabul gören Koordineli Güvenlik Açığı İfşaatı (CVD) sürecini takip ettiğini, ancak satıcı tarafından yeterli iş birliği ve sorumlu karar alma mekanizmalarıyla karşılaşmadığını belirtiyor. Satıcının nihai kararını açıklamasının ardından Park, sessiz kalmak yerine şeffaflığı tercih etti.
Cosmos Labs'ın yayımladığı güvenlik politikasına göre, ekosistemi etkileyen açıkların GitHub, blog yazıları ya da sosyal medya aracılığıyla kamuoyuyla paylaşılması; Cosmos Labs sorunu giderip açıklamayı resmî olarak onaylayana kadar yasak sayılıyor.
CometBFT nedir, neden bu kadar kritik?
Cosmos'un temel katmanı, Byzantine Fault Tolerant protokolüne dayanan ve Go dilinde geliştirilmiş CometBFT (eski adıyla Tendermint) konsensüs motoru üzerine inşa edilmiş. Teknik açıdan bakıldığında, CometBFT gibi BFT sistemlerinde katı determinizm vazgeçilmez bir temel. Zira her doğru doğrulayıcının aynı girdi verildiğinde özdeş durum geçişi sonuçlarını hesaplaması gerekiyor; herhangi bir sapma konsensüs başarısızlığına yol açabiliyor.
Geçen yıl Ekim ayında gün yüzüne çıkan benzer bir açıkta (ASA-2025-003), CometBFT'nin BitArray mesajlarını işleyişinde yetersiz doğrulama yapıldığı tespit edilmiş; en kötü senaryoda ağdaki düğümlerin yalnızca kötü niyetli mesajı alan düğümü değil, ağı bütünüyle durma noktasına getirebileceği ortaya koyulmuştu. Park'ın şimdi açıkladığı açığın da benzer mekanizmalar üzerinden çalışıyor olması, CometBFT'nin konsensüs altyapısına yönelik endişe yarattı.
Cosmos: "Blockchainlerin interneti"
Cosmos, kurucuları tarafından "blockchainlerin interneti" olarak nitelendirilen bir proje; amacı, aralarındaki işlemleri kolaylaştıran açık kaynaklı araçlarla birbirine bağlı bir kripto ağları ağı oluşturmak. Bugün itibarıyla 200'den fazla zincir, Cosmos altyapısını canlı ortamda kullanıyor.
Ekosistem, teknik altyapısı kadar kurumsal iştahıyla da dikkat çekiyor. Ripple, Ondo, Figure ve Stable gibi ekipler 2025'te Cosmos üzerinde büyük çaplı dağıtımlar gerçekleştirdi; bu dağıtımlar bankacılık, finans, hükümet ve kurumsal blockchain alanlarına uzandı. Cosmos Labs'ın vizyonu ise CometBFT ile IBC'yi küresel ölçekte finansal demiryollarına dönüştürmek ve Cosmos zincirlerini tokenleştirme ile ödeme altyapısının temel taşı haline getirmek.
Ancak bu iddialı yol haritasının paralelinde güvenlik sorunları da gündemde kalmaya devam ediyor. Modüler tasarım, uygulama zincirlerinin paylaşılan bileşenlerden (SDK, CometBFT, IBC-Go, CosmWasm VM) kaynaklanan riskleri miras alması anlamına geliyor; yaygın kullanılan standart bir modüldeki ya da temel protokoldeki bir açık, aynı anda pek çok bağımsız zinciri etkileyebiliyor.
Yazım sırasında, Cosmos ekosisteminin coini olan ATOM 1.80 dolardan el değiştiriyor:
