След откриване на множество критични уязвимости, водещата компания за сигурност на блокчейн Verichains препоръча на компаниите да използват доказателствената проверка на IAVL на Tendermint, за да защитят своите активи и да намалят рисковете от експлоатация.
Значителна уязвимост на Empty Merkle Tree в доказателството за IAVL на Tendermint Core, добре познат консенсусен двигател на BFT, беше разкрита от Verichains като част от програмата за разкриване на отговорни уязвимости в публичен съвет, озаглавен VSA-2022-100. Cosmos Hub и други базирани на Tendermint блокчейни се захранват от консенсусния двигател на Tendermint Core.
Втори публичен съвет от Verichains е публикуван като VSA-2022-101. Решаваща IAVL Spofing атака чрез няколко уязвимости: От нула до Spoof.
След атаката на BNB Chain bridge, Verichains откри това откритие, докато работи през октомври миналата година. Експерти по сигурността твърдят, че значителна сума средства може да е била загубена в резултат на сериозната IAVL Spoofing атака, която беше открита чрез няколко пропуска, открити в BNB Chain и Tendermint.
Поради установени работни отношения, веригата БНБ беше информирана за тези резултати през октомври и своевременно отстрани проблема.
Поддържащият Tendermint/Cosmos получи поверително разкриване по същото време и разпозна недостатъците. Независимо от това, тъй като внедряването на IBC и Cosmos-SDK вече беше преминало от проверка на доказателство на IAVL Merkle към ICS-23, не беше предоставена корекция за библиотеката Tendermint. Няколко проекта вече са в опасност, включително Cosmos, Binance Smart Chain, OKX и Kava.
След 120 дни Verichains уведоми обществеността в съответствие със своята Политика за отговорно разкриване на уязвимости. Поради изключителното естество на грешката, повече хакване на мостове и последващи загуби на средства може в определени ситуации да струват милиони или дори милиарди долари.
Web3 проекти, които все още използват проверката на доказателство IAVL на Tendermint, са били предупредени от Verichains, за да се подобри тяхната сигурност.
Редовно екипът на Verichains публикува пропуски в сигурността и уязвимости, открити чрез разследване и тестване на уебсайта на организацията.
Източник: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/