概要
CVE-2026-28402は、NimiqのProof-of-StakeプロトコルをRustで実装した「nimiq/core-rs-albatross」に存在する脆弱性です。具体的には、マクロブロックの提案処理において、header.body_rootと実際のマクロボディハッシュが一致するかどうかの検証が不足していることが報告されています。
この検証不備により、悪意のある、または侵害されたバリデーターが不正なマクロブロック提案を公開した場合、他のバリデーターノードが予期せぬエラー(パニック)を起こし、クラッシュする可能性があります。
本脆弱性は、バージョン1.2.2で修正されています。
影響範囲
影響を受けるのは、NimiqのProof-of-Stakeプロトコルを実装した「nimiq/core-rs-albatross」のバージョン1.2.2より前のバージョンを使用しているバリデーターノードです。
一般ユーザーや、バリデーターノード以外のNimiq関連サービスへの直接的な影響は報告されていません。
想定される影響
悪意のあるバリデーターが選出された場合、不正なマクロブロック提案をネットワークに送信することで、他の正直なバリデーターノードをクラッシュさせる可能性があります。
これにより、ネットワークの安定性や可用性に一時的な影響を与える可能性が考えられます。
バリデーターノードのクラッシュは、ブロック生成の遅延や、最悪の場合、一時的なネットワーク停止につながる可能性も否定できません。
攻撃成立条件・悪用状況
攻撃が成立するためには、攻撃者がバリデーターとして選出され、マクロブロックの提案者となる必要があります。
現在のところ、本脆弱性が実際に悪用されたという具体的な報告は確認されていません。
推奨対策
今すぐできる対策(優先度:高)
- ソフトウェアのアップデート: 開発元から提供されているバージョン1.2.2以降に速やかにアップデートしてください。このバージョンには、本脆弱性に対する修正が含まれています。
中長期的な対策
- セキュリティ情報の継続的な監視: Nimiqプロジェクトの公式アナウンスやセキュリティ情報を定期的に確認し、最新の脆弱性情報やパッチ適用状況を把握するよう努めてください。
一時的な緩和策
本脆弱性に対する既知の一時的な緩和策は報告されていません。アップデートが唯一の対策とされています。
確認方法
ご自身のシステムで使用している「nimiq/core-rs-albatross」のバージョンを確認してください。バージョンが1.2.2より前である場合は、脆弱性の影響を受ける可能性があります。
参考情報
- CVE-2026-28402詳細: https://cvefeed.io/vuln/detail/CVE-2026-28402