Miután több kritikus sérülékenységet is talált, a Verichains vezető blokklánc-biztonsági cég azt javasolta, hogy a Tendermint IAVL igazolási rendszerét alkalmazzák eszközeik védelme és a kizsákmányolás kockázatának csökkentése érdekében.
A Verichains a Responsible Vulnerability Disclosure programja részeként a Tendermint Core-on, a jól ismert BFT konszenzusmotoron található IAVL-bizonyítványban található jelentős Empty Merkle Tree sebezhetőséget fedte fel egy nyilvános tanácsadásban. VSA-2022-100. A Cosmos Hub és más Tendermint-alapú blokkláncokat a Tendermint Core konszenzusmotor hajtja.
A Verichains második nyilvános tanácsadója a következő néven jelent meg VSA-2022-101. Kulcsfontosságú IAVL-hamisítási támadás számos sebezhetőségen keresztül: nullától a hamisításig.
A BNB Chain híd támadása után Verichains tavaly októberben fedezte fel ezt a leletet munka közben. Biztonsági szakértők azt állítják, hogy jelentős összeg veszhetett el a súlyos IAVL Spoofing Attack következtében, amelyet a BNB Chain és a Tendermint számos hibáján keresztül fedeztek fel.
A kialakult munkakapcsolatnak köszönhetően a BNB Chain októberben értesült ezekről az eredményekről, és azonnal orvosolta a problémát.
A Tendermint/Cosmos fenntartója egyúttal bizalmas tájékoztatást kapott, és felismerték a hibákat. Mindazonáltal, mivel az IBC és a Cosmos-SDK megvalósítása már átváltott az IAVL Merkle proof ellenőrzésről az ICS-23-ra, a Tendermint könyvtárhoz nem tettek elérhetővé javítást. Több projekt is veszélyben van, köztük a Cosmos, a Binance Smart Chain, az OKX és a Kava.
120 nap elteltével a Verichains értesítette a nyilvánosságot a felelős biztonsági résekre vonatkozó közzétételi szabályzatának megfelelően. A hiba kulcsfontosságú természetéből adódóan a több hídfeltörés és az ebből eredő alapveszteség bizonyos helyzetekben több millió vagy akár milliárd dollárba is kerülhet.
A Verichains figyelmeztette a Web3-projekteket, amelyek még mindig a Tendermint IAVL-ellenőrzését használják, hogy fokozzák a biztonságukat.
A Verichains csapata rendszeresen közzéteszi a szervezet webhelyén a vizsgálat és tesztelés során talált biztonsági hibákat és sebezhetőségeket.
Forrás: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/