libp2p-gossipsub: Overflow Instantâneo de Heartbeat de Backoff PRUNE do Gossipsub

libp2p-rust é a implementação oficial em linguagem Rust da stack de rede libp2p. Anteriormente à versão 0.49.4, a implementação Rust libp2p Gossipsub contém um pânico remotamente alcançável no tratamento de expiração de backoff. Depois que um peer envia uma mensagem de controle PRUNE criada com um valor de backoff quase máximo controlado pelo atacante, o valor é aceito e armazenado como um Instant próximo ao limite superior representável. Em um heartbeat posterior, a implementação executa aritmética Instant + Duration não verificada (backoff_time + slack), que pode causar overflow e pânico com: overflow ao adicionar duração ao instant. Este problema é alcançável de qualquer peer Gossipsub através de conectividade TCP + Noise + mplex/yamux normal e não requer autenticação adicional além de se tornar um peer de protocolo. Este problema foi corrigido na versão 0.49.4.