Po odkritju številnih kritičnih ranljivosti je vodilni v industriji blockchain varnostno podjetje Verichains je priporočilo projekte, ki uporabljajo dokazno preverjanje IAVL podjetja Tendermint, da sprejmejo ukrepe za zaščito svojih sredstev in zmanjšajo verjetnost izkoriščanja.
Verichains je zagotovil javno svetovanje, VSA-2022-100, o pomembni ranljivosti Empty Merkle Tree v dokazu IAVL na Tendermint Core, uglednem mehanizmu soglasja BFT, po informacijah, ki so bile v skupni rabi s Finboldom 8. marca.
Oktobra lani je Verichains odkril to ugotovitev, ko je delal po zlomu mostu BNB Chain. Resen napad IAVL Spoofing Attack so odkrili varnostni strokovnjaki, ki so iskali slabosti v veriga BNB in Tendermint. Odkrili so številne pomanjkljivosti, zaradi katerih so sklepali, da je napad morda povzročil veliko izgubo sredstev. Zaradi že obstoječega delovnega partnerstva je bila BNB Chain oktobra obveščena o teh rezultatih in je takoj uvedla popravek.
Naenkrat je bil vzdrževalec Tendermint/Cosmos zasebno obveščen o napakah in so bile prepoznane. Knjižnica Tendermint pa ni dobila popravka, saj sta implementacija IBC in Cosmos-SDK že prešla na ICS-23 iz preverjanja dokazov IAVL Merkle. Trenutno je ogroženih več projektov. Med temi projekti so Cosmos, Binance Smart Chain, OKX in Kava.
BNB Chain obveščen o ugotovitvah
Drugo javno svetovanje, imenovano kot VSA-2022-101, je izdal tudi Verichains From Nil to Spoof – Critical IAVL Spoofing Attack via Multiple Vulnerabilities.
To je bilo storjeno v okviru pobude za odgovorno razkrivanje ranljivosti. Cosmos Hub in vse druge verige blokov, zgrajene na Tendermintu, poganja soglasni mehanizem, imenovan Tendermint Core.
V skladu z Verichainsovo politiko odgovornega razkrivanja ranljivosti je podjetje čakalo 120 dni, preden je ranljivost objavilo javno. Zaradi resnosti napake je možno, da pride do vdora v nadaljnje mostove, kar povzroči dodatne izgubljene plačila, ki lahko znašajo stotine milijonov ali morda milijard dolarjev.
Posledično je Verichains priporočil, da vsi ranljivi projekti Web3, ki se zanašajo na preverjanje, odporno na IAVL, izvedejo takojšnjo varnostno nadgradnjo Tenderminta.
Ko jih ekipa Verichains odkrije, ranljivosti in varnostne luknje, ki jih je odkrila, takoj razkrije javnosti prek spletnega mesta podjetja.
Vir: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/