PANews는 4월 22일 보안 연구원 박도연 씨가 코스모스 합의 계층인 CometBFT에서 위험도가 높은 제로데이 취약점(CVSS 7.1)을 발견했다고 보도했습니다. 이 취약점은 블록 동기화 중 노드 작동을 멈추게 하여 80억 달러 이상의 자산을 보호하는 네트워크에 영향을 미칠 수 있습니다. 다만, 이 취약점으로 인해 직접적인 자산 탈취는 발생하지 않습니다. 박 연구원은 해당 취약점 공개를 위한 협력을 시도했지만, 공급업체의 비협조와 공개 보고 거부로 인해 결국 직접 공개하기로 결정했다고 밝혔습니다. 해당 공급업체는 앞서 유사한 취약점(CVE-2025-24371)을 국제 표준을 무시하고 "정보 제공용" 수준으로 하향 조정한 바 있습니다.

타임라인은 다음과 같습니다. 박 씨는 2월 22일에 첫 번째 보고서를 제출했는데, 공급업체는 이를 공개 GitHub 이슈로 등록해 줄 것을 요청했지만 공개를 거부했습니다. 두 번째 보고서는 3월 4일에 HackerOne에서 스팸으로 표시되었습니다. 3월 6일, 공급업체는 임의로 CVE 등급을 낮췄고, 박 씨는 이를 반박하기 위해 네트워크 수준의 PoC를 제출했습니다. 보고서는 최종적으로 4월 21일에 공개되었습니다. 박 씨는 패치가 배포되기 전까지 코스모스 검증자들이 노드 재시작을 최대한 자제할 것을 권장합니다. 이미 합의 모드에 있는 노드는 계속 실행될 수 있지만, 동기화 프로세스에 진입하기 위해 재시작하면 악의적인 피어 노드의 공격으로 인해 교착 상태가 발생할 수 있습니다.