Po odkryciu wielu krytycznych luk, wiodący w branży blockchain firma ochroniarska Verichains zarekomendowała projekty wykorzystujące weryfikację dowodową IAVL firmy Tendermint w celu podjęcia działań w celu ochrony ich aktywów i zmniejszenia prawdopodobieństwa wykorzystania.
Verichains udzielił porady publicznej, VSA-2022-100, o znaczącej luce Empty Merkle Tree w dowodzie IAVL na Tendermint Core, znanym silniku konsensusu BFT, zgodnie z informacjami udostępnionymi Finboldowi 8 marca.
W październiku ubiegłego roku Verichains odkryło to odkrycie podczas pracy w następstwie naruszenia mostu łańcuchowego BNB. Poważny atak IAVL Spoofing został odkryty przez specjalistów ds. bezpieczeństwa, którzy szukali słabych punktów w Łańcuch BNB i Tendermint. Odkryli wiele błędów, które doprowadziły ich do wniosku, że atak mógł doprowadzić do znacznej utraty funduszy. Ze względu na wcześniejszą współpracę partnerską, BNB Chain został poinformowany o tych wynikach w październiku i natychmiast wdrożył poprawkę.
W jednej chwili opiekun Tendermint/Cosmos został prywatnie poinformowany o wadach i zostały one rozpoznane. Jednak biblioteka Tendermint nie otrzymała poprawki, ponieważ implementacja IBC i Cosmos-SDK została już przełączona na ICS-23 z weryfikacji IAVL Merkle. Obecnie kilka projektów jest zagrożonych. Wśród tych projektów m.in kosmos, Binance Smart Chain, OKX i Kava.
Sieć BNB poinformowała o ustaleniach
Drugi doradca publiczny, oznaczony jako VSA-2022-101, został również wydany przez Verichains From Nil to Spoof – Critical IAVL Spoofing Attack via Multiple Vulnerabilities.
Dokonano tego w ramach inicjatywy Odpowiedzialnego ujawniania luk w zabezpieczeniach. Cosmos Hub i wszystkie inne łańcuchy bloków zbudowane na Tendermint są zasilane przez silnik konsensusu o nazwie Tendermint Core.
Zgodnie z Polityką odpowiedzialnego ujawniania luk w zabezpieczeniach Verichains, firma czekała 120 dni przed upublicznieniem luki. Ze względu na powagę usterki możliwe jest zhakowanie kolejnych mostów, co spowoduje dodatkowe utracone płatności, które mogą wynieść setki milionów, a może miliardy dolarów.
W rezultacie firma Verichains zaleciła, aby wszelkie podatne na ataki projekty Web3, które opierają się na weryfikacji IAVL firmy Tendermint, wdrażały natychmiastowe aktualizacje zabezpieczeń.
Po wykryciu, zespół Verichains niezwłocznie ujawnia publicznie wykryte luki w zabezpieczeniach i luki w zabezpieczeniach za pośrednictwem strony internetowej firmy.
Źródło: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/