В коде протокола стейкинга Bitcoin Babylon обнаружена программная уязвимость, которая может позволить злонамеренным валидаторам нарушать процесс консенсуса и замедлять производство блоков в критические периоды работы сети. Об этом сообщили разработчики на платформе GitHub.
Ошибка затрагивает схему подписи блоков Babylon, известную как расширение голосования BLS (BLS vote extension), которое используется для подтверждения согласия валидаторов по блоку. Уязвимость позволяет валидатору намеренно опустить поле хэша блока при отправке своего расширения голоса. Это поле указывает, за какие именно блоки валидаторы голосуют в процессе консенсуса.
Псевдонимный контрибьютор GrumpyLaurie55348, обнаруживший уязвимость, пояснил, что это может привести к «периодическим сбоям валидаторов на границах эпох, что замедлит создание блока на границе эпохи». Проблема возникает, когда программное обеспечение пытается прочитать отсутствующие данные в критически важных для консенсуса участках кода, таких как VerifyVoteExtension, что вызывает аварийное завершение работы (runtime panic).
Теоретически, если будут затронуты несколько валидаторов одновременно, это может привести к заметному замедлению производства блоков. Разработчики подчеркивают, что уязвимость пока не эксплуатируется активно, но её наличие создаёт риск для сети, если проблема не будет устранена.
На момент публикации новости представители Babylon не предоставили комментариев относительно потенциального воздействия и планов по устранению уязвимости.
Этот инцидент происходит на фоне активного расширения Babylon, который рассматривается как ключевой проект в сфере децентрализованных финансов (DeFi) на базе Bitcoin. Недавно протокол привлёк $15 млн финансирования от a16z Crypto через продажу нативных токенов BABY. Эти средства предназначены для развития инфраструктуры Bitcoin-native DeFi.
Кроме того, в декабре Babylon объявил о партнёрстве с Aave Labs для интеграции кредитования под залог Bitcoin в Aave v4. Ожидается, что продукт войдёт в фазу тестирования в первом квартале 2026 года, а его запуск запланирован на апрель 2026 года.
