Nome do Software Vulnerável e Versões Afetadas Versões do Horcrux de 3.1.0 a 3.3.1

Descrição Uma condição de corrida no código de manipulação do estado de assinatura do Horcrux permitiu um incidente de dupla assinatura, resultando em uma penalidade de slash de 5%. O problema foi introduzido em julho de 2023 e afeta todas as versões do Horcrux de v3.1.0 a v3.3.1. O bug possui uma probabilidade de ocorrência extremamente baixa, mas é de alta severidade. Um validador conhecido foi afetado, resultando em uma perda de aproximadamente 75.000 OSMO ou US$ 20.000. O incidente ocorreu na altura do bloco 30968345 da Osmosis. Detalhes técnicos revelam que o problema foi causado por um padrão de lock de leitura-escrita dividido que permitiu que duas solicitações de assinatura prosseguissem quando deveriam ter sido serializadas. A correção implementa um mutex único que abrange tanto a leitura do estado de assinatura atual quanto a subsequente escrita de quaisquer atualizações.

Recomendações Todos os usuários do Horcrux que executam as versões de v3.1.0 a v3.3.1 devem atualizar para a versão corrigida v3.3.2 imediatamente. A correção é retrocompatível e não requer nenhuma alteração de configuração. As instruções de atualização incluem baixar o binário da versão v3.3.2 ou a imagem de contêiner, aplicar o binário ou a imagem na implantação e reiniciar os processos cosigner um por vez para garantir a operação contínua do validador.