După descoperirea mai multor vulnerabilități critice, liderul în industrie blockchain compania de securitate Verichains a recomandat proiecte care utilizează verificarea IAVL de la Tendermint pentru a lua măsuri pentru a-și proteja activele și a reduce probabilitatea de a fi exploatate.
Verichains a oferit un aviz public, VSA-2022-100, despre o vulnerabilitate semnificativă Empty Merkle Tree în proba IAVL pe Tendermint Core, un motor de consens BFT proeminent, conform informațiilor împărtășite cu Finbold pe 8 martie.
În luna octombrie a anului trecut, Verichains a descoperit această descoperire când lucra în urma spargerii podului BNB Chain. Gravul atac IAVL Spoofing a fost descoperit de profesioniștii în securitate care căutau puncte slabe în Lanțul BNB și Tendermint. Ei au descoperit multe defecte, care i-au condus la concluzia că atacul ar fi putut duce la o pierdere majoră de fonduri. Datorită unui parteneriat de lucru preexistent, BNB Chain a fost informat despre aceste rezultate în octombrie și a implementat imediat o soluție.
Deodată, întreținătorul Tendermint/Cosmos a fost informat în mod privat despre defectele și au fost recunoscute. Biblioteca Tendermint, totuși, nu a primit o remediere, deoarece implementarea IBC și Cosmos-SDK trecuse deja la ICS-23 de la verificarea IAVL Merkle. În acest moment, mai multe proiecte sunt în pericol. Printre aceste proiecte se numără Cosmos, Binance Smart Chain, OKX și Kava.
Lanțul BNB a fost informat despre constatări
Un al doilea consilier public, desemnat ca VSA-2022-101, a fost, de asemenea, emis de Verichains From Nil to Spoof – Critical IAVL Spoofing Attack prin Multiple Vulnerabilities.
Acest lucru a fost făcut ca parte a inițiativei sale de divulgare responsabilă a vulnerabilității. Cosmos Hub și toate celelalte blockchain-uri care sunt construite pe Tendermint sunt alimentate de un motor de consens numit Tendermint Core.
Conform Politicii de divulgare a vulnerabilităților Verichains, compania a așteptat 120 de zile înainte de a face publică vulnerabilitatea. Datorită gravității defectului, este posibil ca alte poduri să fie sparte, ceea ce duce la pierderi de plăți suplimentare, care s-ar putea ridica la sute de milioane, sau poate miliarde de dolari.
Drept urmare, Verichains a recomandat ca orice proiecte Web3 vulnerabile care se bazează pe verificarea IAVL a Tendermint să implementeze upgrade imediate de securitate.
Odată descoperită, echipa Verichains dezvăluie cu promptitudine vulnerabilitățile și găurile de securitate pe care le-a găsit publicului prin intermediul site-ului companiei.
Sursa: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/