Po odkritju številnih kritičnih ranljivosti je vodilno podjetje za varnost verige blokov Verichains priporočilo podjetjem, da uporabljajo dokazno preverjanje IAVL podjetja Tendermint, da zaščitijo svoja sredstva in zmanjšajo tveganja izkoriščanja.
Verichains je kot del svojega programa za odgovorno razkrivanje ranljivosti v javnem svetovanju z naslovom razkril pomembno ranljivost Empty Merkle Tree v dokazu IAVL na Tendermint Core, dobro znanem mehanizmu soglasja BFT. VSA-2022-100. Cosmos Hub in druge blokovne verige, ki temeljijo na Tendermintu, poganja mehanizem soglasja Tendermint Core.
Drugo javno svetovanje družbe Verichains je objavljeno kot VSA-2022-101. Pomemben IAVL spoofing napad prek več ranljivosti: od Nil do Spoof.
Po napadu na most BNB Chain je Verichains odkril to ugotovitev med delom oktobra lani. Varnostni strokovnjaki trdijo, da je bila znatna količina sredstev morda izgubljena zaradi resnega napada IAVL Spoofing Attack, ki je bil odkrit z več napakami, odkritimi v BNB Chain in Tendermint.
Zaradi vzpostavljenega delovnega odnosa je bila veriga BNB o teh rezultatih obveščena oktobra in je nemudoma odpravila težavo.
Vzdrževalec Tendermint/Cosmos je istočasno prejel zaupno razkritje in prepoznal pomanjkljivosti. Kljub temu, ker sta implementacija IBC in Cosmos-SDK že prešla s preverjanja dokazov IAVL Merkle na ICS-23, popravek ni bil na voljo za knjižnico Tendermint. Več projektov je zdaj v nevarnosti, vključno s Cosmosom, Binance Smart Chain, OKX in Kava.
Po 120 dneh je Verichains obvestil javnost v skladu s svojo politiko odgovornega razkrivanja ranljivosti. Zaradi ključne narave hrošča lahko več vdorov v most in posledične izgube sredstev v določenih situacijah stanejo milijone ali celo milijarde dolarjev.
Projekte Web3, ki še vedno uporabljajo dokazno preverjanje IAVL podjetja Tendermint, je Verichains opozoril, da bi povečali njihovo varnost.
Ekipa Verichains redno objavlja varnostne pomanjkljivosti in ranljivosti, odkrite s preiskavo in testiranjem na spletni strani organizacije.
Vir: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/