PANewsは4月22日、セキュリティ研究者のパク・ドヨン氏が、CosmosコンセンサスレイヤーのCometBFTに高リスクのゼロデイ脆弱性（CVSS 7.1）を発見したと報じた。この脆弱性により、ブロック同期中にノードがフリーズする可能性があり、80億ドル以上の資産を保護するネットワークに影響が出る恐れがある。ただし、この脆弱性によって直接的な資産窃盗は不可能だ。パク氏は、ベンダーの非協力的な態度と公表拒否により、脆弱性の開示を調整しようと試みたものの失敗に終わり、最終的に自ら脆弱性を公表することにしたと述べている。ベンダーは以前、同様の脆弱性（CVE-2025-24371）を国際基準を無視して「情報提供」レベルに格下げしていた。

タイムラインは次のとおりである。Park は 2 月 22 日に最初のレポートを提出したが、ベンダーはそれを GitHub の公開イシューとして要求したものの、公開を拒否した。2 番目のレポートは 3 月 4 日に HackerOne によってスパムとしてマークされた。3 月 6 日にベンダーは CVE レベルを恣意的にダウングレードし、Park はそれを否定するネットワーク レベルの PoC を提出した。レポートは最終的に 4 月 21 日に公開された。Park は、パッチがリリースされる前に Cosmos バリデーターがノードをできるだけ再起動しないようにすることを推奨している。すでにコンセンサス モードになっているノードは実行を続けることができるが、同期プロセスに入るためにそれらを再起動すると、悪意のあるピア ノードからの攻撃によりデッドロックが発生する可能性がある。