CRITICAL🇬🇧 English

CVE-2025-24800

Hyperbridge ismp-grandpa: fałszywa weryfikacja finalności bloków cross-chain

CVSS 9.3v4.0pub. 2025-01-28upd. 2026-04-15

Krytyczna podatność w bibliotece ismp-grandpa wchodzącej w skład projektu Hyperbridge pozwala złośliwemu proverowi przekonać weryfikator o finalności dowolnych nagłówków bloków. Może to prowadzić do kradzieży środków lub kompromitacji aplikacji cross-chain.

Pokaż oryginał (EN)

Hyperbridge is a hyper-scalable coprocessor for verifiable, cross-chain interoperability. A critical vulnerability was discovered in the ismp-grandpa crate, that allowed a malicious prover easily convince the verifier of the finality of arbitrary headers. This could be used to steal funds or compromise other kinds of cross-chain applications. This vulnerability is fixed in 15.0.1.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej weryfikacji podpisów lub dowodów finalności (CWE-347: Improper Verification of Cryptographic Signature oraz CWE-670: Always-Incorrect Control Flow Implementation). Złośliwy prover jest w stanie dostarczyć spreparowane dane, które weryfikator błędnie uzna za potwierdzenie finalności dowolnie wybranych nagłówków bloków. Brak skutecznej kontroli integralności tych danych umożliwia atakującemu manipulację stanem postrzeganym przez protokół interoperacyjności.

Skutki

Atakujący może wymusić na weryfikatorze akceptację fałszywych informacji o stanie łańcucha bloków, co może skutkować kradzieżą środków finansowych lub przejęciem kontroli nad innymi aplikacjami korzystającymi z mechanizmu cross-chain.

Mitygacja

Należy zaktualizować bibliotekę ismp-grandpa do wersji 15.0.1, w której podatność została naprawiona. Szczegółowe informacje dostępne w security advisory projektu Hyperbridge (GHSA-wwx5-gpgr-vxr7) oraz w referencjach producenta.

Kogo dotyczy

Crate ismp-grandpa projektu Hyperbridge w wersjach poprzedzających 15.0.1

Uwagi

Podatność została naprawiona w wersji 15.0.1 zgodnie z informacją zawartą w opisie oryginalnym. Patch dostępny w repozytorium GitHub producenta (Polytope Labs) pod adresem wskazanym w referencjach.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje