Nakon što je pronašla više kritičnih ranjivosti, vodeća blockchain sigurnosna kompanija Verichains preporučila je kompanijama koje koriste Tendermint-ovu IAVL verifikaciju kako bi zaštitile svoju imovinu i smanjile rizike eksploatacije.
Verichains je otkrio značajnu ranjivost Empty Merkle Tree u IAVL dokazu na Tendermint Core, dobro poznatom BFT konsenzusnom motoru, kao dio svog programa odgovornog otkrivanja ranjivosti u javnom savjetovanju pod nazivom VSA-2022-100. Cosmos Hub i drugi blok lanci zasnovani na Tendermintu pokreću se Tendermint Core konsenzus motorom.
Drugo javno savjetovanje Verichainsa objavljeno je kao VSA-2022-101. Ključni IAVL napad lažiranja kroz nekoliko ranjivosti: od nule do lažiranja.
Nakon napada na lančani most BNB-a, Verichains je otkrio ovo otkriće radeći u oktobru prošle godine. Stručnjaci za sigurnost tvrde da je značajan iznos sredstava mogao biti izgubljen kao posljedica ozbiljnog IAVL spoofing napada, koji je otkriven kroz nekoliko nedostataka otkrivenih u BNB Chain-u i Tendermintu.
Zbog uspostavljenog radnog odnosa, lanac BNB je u oktobru obaviješten o ovim rezultatima i promptno je otklonio problem.
Tendermint/Cosmos održavatelj je u isto vrijeme primio povjerljivo otkrivanje i prepoznali su nedostatke. Ipak, pošto je implementacija IBC-a i Cosmos-SDK-a već prešla sa IAVL Merkle verifikacije dokaza na ICS-23, ispravka nije bila dostupna za Tendermint biblioteku. Nekoliko projekata je sada u opasnosti, uključujući Cosmos, Binance Smart Chain, OKX i Kava.
Nakon 120 dana, Verichains je obavijestio javnost u skladu sa svojom Politikom odgovornog otkrivanja ranjivosti. Zbog ključne prirode greške, više hakovanja mostova i proisteklih iz toga gubitaka sredstava mogu, u određenim situacijama, koštati milione ili čak milijarde dolara.
Web3 projekti koji još uvijek koriste Tendermint-ovu IAVL verifikaciju su upozoreni od strane Verichains-a da poboljšaju svoju sigurnost.
Tim Verichainsa redovno objavljuje sigurnosne propuste i ranjivosti pronađene istragom i testiranjem na web stranici organizacije.
Izvor: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/