Nakon otkrivanja više kritičnih ranjivosti, vodeći u industriji blockchain Sigurnosna kompanija Verichains preporučila je projekte koji koriste Tendermint-ovu IAVL verifikaciju kako bi poduzeli mjere za zaštitu njihove imovine i smanjili vjerovatnoću da budu eksploatisani.
Verichains je dao javno savjetovanje, VSA-2022-100, o značajnoj ranjivosti Empty Merkle Tree u IAVL dokazu na Tendermint Core, istaknutom BFT konsenzus motoru, prema informacijama podijeljenim s Finboldom 8. marta.
U oktobru prošle godine, Verichains je otkrio ovo otkriće dok su radili nakon proboja lančanog mosta BNB-a. Ozbiljni IAVL spoofing napad otkrili su sigurnosni profesionalci koji su tražili slabosti BNB lanac i Tendermint. Otkrili su mnoge nedostatke, što ih je dovelo do zaključka da je napad možda doveo do velikog gubitka sredstava. Zbog postojećeg radnog partnerstva, BNB Chain je obaviješten o ovim rezultatima u oktobru i odmah je pokrenuo ispravku.
Odjednom, Tendermint/Cosmos održavatelj je privatno obaviješten o nedostacima i oni su prepoznati. Tendermint biblioteka, međutim, nije dobila ispravku jer je implementacija IBC i Cosmos-SDK već prešla na ICS-23 sa IAVL Merkle provere dokaza. Trenutno je nekoliko projekata ugroženo. Među ovim projektima spadaju kosmos, Binance Smart Chain, OKX i kava.
Lanac BNB obaviješten o nalazima
Drugo javno savjetovanje, označeno kao VSA-2022-101, takođe je izdao Verichains From Nil to Spoof – Critical IAVL Spoofing Attack putem višestrukih ranjivosti.
Ovo je učinjeno kao dio inicijative za odgovorno otkrivanje ranjivosti. Cosmos Hub i svi drugi blockchain-ovi koji su izgrađeni na Tendermintu pokreću se konsenzus motorom koji se zove Tendermint Core.
Prema Verichainsovoj politici odgovornog otkrivanja ranjivosti, kompanija je čekala 120 dana prije nego što je ranjivost objavila. Zbog ozbiljnosti greške, moguće je da se dodatni mostovi hakuju, što rezultira dodatnim izgubljenim uplatama, koje mogu iznositi stotine miliona, ili možda milijardi dolara.
Kao rezultat toga, Verichains je preporučio da svi ranjivi Web3 projekti koji se oslanjaju na Tendermint-ovu IAVL-proof verifikaciju implementiraju trenutne sigurnosne nadogradnje.
Nakon što je otkriven, tim Verichains-a odmah otkriva javnosti ranjivosti i sigurnosne rupe koje je pronašao putem web stranice kompanije.
Izvor: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/