Verichains, vodeća blockchain sigurnosna firma, identificirala je značajne blockchain sigurnosne ranjivosti.
U hitnom javnom savjetovanju za projekte u ekosistemu, Verichains tim je rekao da se ranjivosti odnose na verifikaciju IAVL dokaza i napade lažiranja u Tendermint Core i kosmos. Konkretno, sigurnosni rizici se odnose na kritičnu ranjivost Empty Merkle Tree i IAVL spoofing napad.
Greške vezane za Tendermint-ovu IAVL verifikaciju dokaza
Javno ažuriranje je dio kompanijske politike odgovornog otkrivanja ranjivosti i dolazi nakon potrebnog perioda od 120 dana.
Prema Verichainu, identifikovane ranjivosti su „kritičke prirode” i nedostatak akcije mogao bi dovesti do toga da hakeri iskoriste greške kako bi nanijeli dodatnu štetu. Svi Web3 projekti koji još uvijek koriste IAVL verifikaciju dokaza na Tendermint-u moraju se brzo kretati kako bi osigurali imovinu i ublažili potencijalne rizike eksploatacije.
Prema platformi, rizici su otkriveni u oktobru 2022. dok je tim pretraživao ranjivosti nakon hakovanja na BNB Chain mostu. Presuda stručnjaka za sigurnost bila je da kritični IAVL spoofing napad ukazuje na višestruke ranjivosti i u BNB lancu iu Tendermintu. Ekosistem je mogao biti izložen "značajnom gubitku sredstava", napominju stručnjaci.
Dok je zakrpa napravljena na BNB Chain-u prošlog oktobra, isto se nije dogodilo sa Tendermint/Cosmos održavačem. Zakrpa za Tendermint Core biblioteku se nije dogodila pošto su Cosmos SDK i IBC prešli sa IAVL Merkle provere dokaza na ICS-23.
Blockchain prostor je vidio brojne proboje na mostovima, sa milionima dolara vrijednih digitalnih sredstava ukradenih. Shodno tome, stručnjaci Verichaina napominju da projekti ne bi trebali potcijeniti razmjere bilo kakvih mogućih kršenja, s obzirom na eksploataciju zbog koje je BNB Chain-ov Cross-Chain Bridge napadnut na 2 miliona BNB vrijednih preko 566 miliona dolara ilegalno izdatih.
Izvor: https://invezz.com/news/2023/03/08/verichains-discloses-critical-blockchain-security-vulnerabilities/