安全研究员Doyeon Park：Cosmos存在高危0-day漏洞但官方却选择摆烂

币圈子(120btc.CoM)：加密货币圈的资安防线，有时最大的敌人不是黑客，而是项目方的傲慢。

保护着超过80亿美元资产的Cosmos生态系，今日爆发了严重的资安通报争议。安全研究员Doyeon Park(@p6rkdoye0n)在社群平台X上发布长文，正式公开了Cosmos共识层(CometBFT)的一个0-day漏洞，并强烈抨击官方团队极度不负责任的处理态度。

高危险0-day漏洞，恐致节点「死锁停机」

据Doyeon Park披露，这个漏洞的严重程度达到CVSS7.1(高危险)。虽然该漏洞无法被用来直接窃取用户资产，但会导致网络陷入严重的瘫痪危机。

为了保护生态系，他在公开技术细节的同时，发布了紧急的「验证者生存指南(Validator Survival Guide)」。他强烈建议Cosmos生态系的节点营运商，在官方释出修补程序之前，尽可能避免重启节点。

他解释道：「已经处于共识模式的节点可以正常运作;但如果重启并进入『区块同步程序(block sync phase)』，该漏洞就可能被触发，遭恶意节点攻击而导致死锁(deadlock)，使节点永远无法重新加入网络。」

Doyeon Park表示，自己一直试图遵循协调式漏洞揭露(CVD)的正规程序，但最终选择「公开吹哨」，完全是因为Cosmos官方的消极与不作为。他详细列出了与官方交涉的离谱过程：

无视PoC铁证：在他2月首次回报后，厂商竟指示他直接在GitHub发布公开Issue，声称「攻击不可行」。当Doyeon提供网络层级的PoC(概念验证)彻底反驳官方说法后，官方直接选择已读不回。
恶意降低过往评级：更夸张的是，官方擅自将另一个具有同等破坏力的1-day漏洞(CVE-2025-24371)降级为「资讯性(可能发生但影响可忽略)」，完全无视国际公认的MITRE与CVSS标准。Doyeon痛批，这明显是为了淡化严重性，借此规避给予研究员适当的认可与漏洞奖金。
把高危通报当垃圾邮件：当他在3月透过HackerOne回报另一个更严重的漏洞时，官方竟在完全没有技术审核的情况下，直接将其标记为「垃圾邮件(Spam)」。就连资安救援团队SEAL911介入协调，官方依然故我。