След откриването на множество критични уязвимости, водещият в индустрията blockchain охранителната компания Verichains препоръча проекти, използващи доказателствената проверка на IAVL на Tendermint, за да предприеме мерки за защита на техните активи и намаляване на вероятността да бъдат експлоатирани.
Verichains предостави публичен съвет, VSA-2022-100, относно значителна уязвимост на Empty Merkle Tree в IAVL доказателството на Tendermint Core, виден консенсусен двигател на BFT, според информацията, споделена с Finbold на 8 март.
През октомври миналата година Verichains откриха това откритие, когато работеха след пробива на моста на BNB Chain. Сериозната IAVL Spoofing Attack беше открита от специалисти по сигурността, които търсеха слабости в Верига БНБ и мента. Те откриха много недостатъци, които ги накараха да заключат, че атаката може да е довела до голяма загуба на средства. Поради предварително съществуващо работно партньорство, BNB Chain беше информирана за тези резултати през октомври и незабавно внедри корекция.
Изведнъж поддържащият Tendermint/Cosmos беше частно информиран за недостатъците и те бяха разпознати. Библиотеката на Tendermint обаче не получи корекция, тъй като внедряването на IBC и Cosmos-SDK вече беше преминало към ICS-23 от IAVL проверка на Merkle. В момента няколко проекта са застрашени. Сред тези проекти включват Космос, Binance Smart Chain, OKX и Кава.
Верига БНБ информира за констатациите
Втори публичен съвет, определен като VSA-2022-101, също е издадено от Verichains От нула до измама – критична атака за фалшифициране на IAVL чрез множество уязвимости.
Това беше направено като част от инициативата за отговорно разкриване на уязвимости. Cosmos Hub и всички други блокчейни, които са изградени на Tendermint, се захранват от консенсусен двигател, наречен Tendermint Core.
Според Политиката за отговорно разкриване на уязвимости на Verichains, компанията изчака 120 дни, преди да оповести публично уязвимостта. Поради сериозността на дефекта е възможно други мостове да бъдат хакнати, което да доведе до допълнителни загубени плащания, които може да възлизат на стотици милиони или може би милиарди долари.
В резултат на това Verichains препоръча всички уязвими Web3 проекти, които разчитат на IAVL доказаната проверка на Tendermint, да внедрят незабавни надстройки на сигурността.
Веднъж открити, екипът на Verichains незабавно разкрива уязвимостите и дупките в сигурността, които е открил, на обществеността чрез сайта на компанията.
Източник: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/