După ce a găsit mai multe vulnerabilități critice, compania de securitate blockchain Verichains a recomandat companiilor care utilizează verificarea IAVL de la Tendermint pentru a-și proteja activele și a reduce riscurile de exploatare.
O vulnerabilitate semnificativă Empty Merkle Tree din proba IAVL pe Tendermint Core, un motor de consens BFT binecunoscut, a fost dezvăluită de Verichains ca parte a programului său de divulgare a vulnerabilităților responsabile într-un aviz public intitulat VSA-2022-100. Cosmos Hub și alte blockchain-uri bazate pe Tendermint sunt alimentate de motorul de consens Tendermint Core.
Un al doilea aviz public de la Verichains este publicat ca VSA-2022-101. Atac crucial de falsificare IAVL prin mai multe vulnerabilități: de la zero la falsificare.
În urma atacului la podul BNB Chain, Verichains a descoperit această descoperire în timp ce lucra în octombrie anul trecut. Experții în securitate susțin că s-ar fi putut pierde o sumă semnificativă de fonduri ca urmare a atacului grav IAVL Spoofing, care a fost descoperit prin mai multe defecte descoperite în BNB Chain și Tendermint.
Datorită unei relații de lucru stabilite, BNB Chain a fost informată despre aceste rezultate în octombrie și a remediat prompt problema.
Menținătorul Tendermint/Cosmos a primit o dezvăluire confidențială în același timp și a recunoscut defectele. Cu toate acestea, deoarece implementarea IBC și Cosmos-SDK trecuse deja de la verificarea probei IAVL Merkle la ICS-23, o remediere nu a fost disponibilă pentru biblioteca Tendermint. Mai multe proiecte sunt acum în pericol, inclusiv Cosmos, Binance Smart Chain, OKX și Kava.
După 120 de zile, Verichains a notificat publicul în conformitate cu Politica sa de divulgare responsabilă a vulnerabilităților. Datorită naturii esențiale a bug-ului, mai multe hacking-uri și pierderile de fonduri ulterioare ar putea costa, în anumite situații, milioane sau chiar miliarde de dolari.
Proiectele Web3 care folosesc încă verificarea IAVL de la Tendermint au fost avertizate de Verichains pentru a le spori securitatea.
În mod regulat, echipa Verichains publică defecte de securitate și vulnerabilități găsite prin investigații și teste pe site-ul web al organizației.
Sursa: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/