A Verichains, a vezető blokklánc-biztonsági cég jelentőseket azonosított blockchain biztonsági réseket.
Az ökoszisztéma projektjeivel kapcsolatos sürgős nyilvános tanácsadásban a Verichains csapata azt mondta, hogy a sebezhetőségek az IAVL-ellenőrzési igazolásokhoz és a Tendermint Core-ban és a hamisítási támadásokhoz kapcsolódnak. Világegyetem. A biztonsági kockázatok konkrétan a kritikus Empty Merkle Tree sebezhetőséghez és az IAVL Spoofing Attackhez kapcsolódnak.
A Tendermint IAVL-ellenőrzésével kapcsolatos hibák
A nyilvános frissítés a vállalat felelős sebezhetőségi közzétételi szabályzatának része, és a szükséges 120 napos időszak után érkezik.
Verichain szerint az azonosított sebezhetőségek egy „kritikus természetA cselekvés hiánya pedig azt eredményezheti, hogy a hackerek kihasználják a hibákat további károk okozására. Az összes Web3-projektnek, amely még mindig az IAVL-ellenőrzést futtatja a Tenderminton, gyorsan kell haladnia az eszközök biztonsága és a potenciális hasznosítási kockázatok csökkentése érdekében.
A platform szerint a kockázatokat 2022 októberében fedezték fel, amikor a csapat a BNB Chain hídon történt feltörést követően a sebezhetőségek után kutat. A biztonsági szakértők ítélete szerint a kritikus IAVL Spoofing Attack több sebezhetőséget sugallt a BNB Chain és a Tendermint esetében is. A szakértők szerint az ökoszisztéma „jelentős pénzvesztésnek” lehetett volna kitéve.
Míg a BNB-láncon tavaly októberben patch készült, ez nem történt meg a Tendermint/Cosmos karbantartóval. A Tendermint Core könyvtár javítása nem történt meg, mivel a Cosmos SDK és az IBC átállt az IAVL Merkle igazolás ellenőrzéséről az ICS-23-ra.
A blokklánc-térben számos áttörés történt a hidakon, és több millió dollár értékű digitális eszközt loptak el. Ennek megfelelően a Verichain szakértői megjegyzik, hogy a projekteknek nem szabad alábecsülniük az esetleges jogsértések mértékét, tekintettel arra a kizsákmányolásra, amely során a BNB Chain Cross-Chain Bridge-jét 2 millió BNB értékben támadták meg, több mint 566 millió dollár értékben.
Forrás: https://invezz.com/news/2023/03/08/verichains-discloses-critical-blockchain-security-vulnerabilities/