Po znalezieniu wielu krytycznych luk w zabezpieczeniach, wiodąca firma zajmująca się bezpieczeństwem blockchain, Verichains, poleciła firmom stosującym weryfikację dowodową IAVL firmy Tendermint w celu ochrony swoich aktywów i zmniejszenia ryzyka związanego z eksploatacją.
Znacząca luka w zabezpieczeniach Empty Merkle Tree w dowodzie IAVL na Tendermint Core, dobrze znanym silniku konsensusu BFT, została ujawniona przez Verichains w ramach programu odpowiedzialnego ujawniania luk w zabezpieczeniach w publicznym poradniku zatytułowanym VSA-2022-100. Cosmos Hub i inne łańcuchy bloków oparte na Tendermint są obsługiwane przez silnik konsensusu Tendermint Core.
Drugi publiczny poradnik Verichains został opublikowany jako VSA-2022-101. Kluczowy atak fałszowania IAVL poprzez kilka luk: od zera do fałszowania.
W następstwie ataku na most łańcuchowy BNB, Verichains odkrył to odkrycie podczas pracy w październiku ubiegłego roku. Eksperci ds. bezpieczeństwa twierdzą, że znaczna ilość funduszy mogła zostać utracona w wyniku poważnego ataku IAVL Spoofing Attack, który został wykryty dzięki kilku lukom wykrytym w BNB Chain i Tendermint.
Dzięki nawiązanej współpracy, BNB Chain został poinformowany o tych wynikach w październiku i szybko naprawił problem.
Opiekun Tendermint/Cosmos otrzymał w tym samym czasie poufne ujawnienie i rozpoznał wady. Niemniej jednak, ponieważ implementacja IBC i Cosmos-SDK przeszła już z weryfikacji IAVL Merkle na ICS-23, poprawka nie została udostępniona dla biblioteki Tendermint. Kilka projektów jest obecnie zagrożonych, w tym Cosmos, Binance Smart Chain, OKX i Kava.
Po 120 dniach Verichains powiadomił opinię publiczną zgodnie z Polityką odpowiedzialnego ujawniania luk w zabezpieczeniach. Ze względu na kluczowy charakter błędu, kolejne włamania do mostów i wynikające z tego straty funduszy mogą w pewnych sytuacjach kosztować miliony, a nawet miliardy dolarów.
Projekty Web3, które nadal korzystają z weryfikacji IAVL Tendermint, zostały ostrzeżone przez Verichains, aby zwiększyć ich bezpieczeństwo.
Zespół Verichains regularnie publikuje luki w zabezpieczeniach i luki w zabezpieczeniach wykryte podczas dochodzeń i testów na stronie internetowej organizacji.
Źródło: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/