Több kritikus sérülékenység felfedezése után az iparágvezető blockchain A Verichains biztonsági cég a Tendermint IAVL igazolását alkalmazó projekteket javasolt, hogy tegyenek intézkedéseket eszközeik védelmére és a kizsákmányolás valószínűségének csökkentésére.
A Verichains nyilvános tanácsot adott, VSA-2022-100, a Finbolddal március 8-án megosztott információk szerint egy jelentős Üres Merkle Tree sebezhetőségről az IAVL bizonyítványban a Tendermint Core-on, egy kiemelkedő BFT konszenzusmotoron.
A múlt év októberében a Verichains fedezte fel ezt a megállapítást, amikor a BNB-lánchíd áttörése után dolgoztak. A súlyos IAVL Spoofing Attack-et biztonsági szakemberek fedezték fel, akik gyengeségeket kerestek BNB lánc és Tendermint. Sok hibát tártak fel, amiből arra a következtetésre jutottak, hogy a támadás jelentős pénzvesztéshez vezethetett. A meglévő együttműködésnek köszönhetően a BNB Chain októberben értesült ezekről az eredményekről, és azonnal bevetette a javítást.
Egyszerre a Tendermint/Cosmos fenntartót privátban értesítették a hibákról, és azokat felismerték. A Tendermint könyvtár azonban nem kapott javítást, mivel az IBC és a Cosmos-SDK implementációja már átváltott ICS-23-ra az IAVL Merkle proof ellenőrzésről. Jelenleg több projekt is veszélyben van. Ezek közé a projektek közé tartozik Világegyetem, Binance Smart Chain, OKX, és Kava.
A BNB-láncot tájékoztatták az eredményekről
Egy második nyilvános tanácsadás, amelyet mint VSA-2022-101, szintén kiadta a Verichains From Nil to Spoof – Critical IAVL Spoofing Attack via Multiple Vulnerabilities.
Ez a Responsible Vulnerability Disclosure kezdeményezés részeként történt. A Cosmos Hub-ot és az összes többi Tendermint-re épülő blokkláncot a Tendermint Core nevű konszenzusos motor hajtja.
A Verichains Responsible Vulnerability Disclosure Policy szerint a vállalat 120 napot várt, mielőtt nyilvánosságra hozta a sebezhetőséget. A hiba súlyossága miatt lehetséges, hogy további hidakat törhetnek fel, ami további kifizetések elvesztését eredményezheti, amelyek összege több száz millió vagy akár milliárd dollár is lehet.
Ennek eredményeként a Verichains azt javasolta, hogy minden sebezhető Web3-projekt, amely a Tendermint IAVL-biztos ellenőrzésére támaszkodik, azonnali biztonsági frissítést hajtson végre.
Amint felfedezik, a Verichains csapata azonnal nyilvánosságra hozza az általa talált sebezhetőségeket és biztonsági réseket a cég honlapján keresztül.
Forrás: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/