Po zjištění několika kritických zranitelností přední společnost zabývající se zabezpečením blockchainu Verichains doporučila společnostem, které používají ověřování IAVL společnosti Tendermint k ochraně svých aktiv a snížení rizik zneužití.
Významná zranitelnost Empty Merkle Tree v důkazu IAVL na Tendermint Core, známém BFT konsensuálním enginu, byla odhalena společností Verichains jako součást svého programu Responsible Vulnerability Disclosure ve veřejném poradenství s názvem VSA-2022-100. Cosmos Hub a další blockchainy založené na Tendermintu jsou poháněny motorem konsenzu Tendermint Core.
Druhé veřejné doporučení od Verichains je zveřejněno jako VSA-2022-101. Zásadní IAVL spoofingový útok prostřednictvím několika zranitelností: Od nuly po Spoof.
V důsledku útoku na řetězový most BNB, Verichains objevil tento nález při práci v říjnu loňského roku. Bezpečnostní experti tvrdí, že značné množství finančních prostředků mohlo být ztraceno v důsledku vážného útoku IAVL Spoofing Attack, který byl objeven prostřednictvím několika nedostatků objevených v BNB Chain and Tendermint.
Vzhledem k navázanému pracovnímu vztahu byl BNB Chain o těchto výsledcích informován v říjnu a problém okamžitě vyřešil.
Správce Tendermint/Cosmos ve stejnou dobu obdržel důvěrné sdělení a rozpoznal nedostatky. Nicméně, protože implementace IBC a Cosmos-SDK již přešla z ověření IAVL Merkle na ICS-23, oprava nebyla zpřístupněna pro knihovnu Tendermint. Několik projektů je nyní v ohrožení, včetně Cosmos, Binance Smart Chain, OKX a Kava.
Po 120 dnech společnost Verichains informovala veřejnost v souladu se svými zásadami odpovědného zveřejňování zranitelnosti. Kvůli zásadní povaze chyby může další hackování mostů a následné ztráty finančních prostředků v určitých situacích stát miliony nebo dokonce miliardy dolarů.
Projekty Web3, které stále používají ověření IAVL společnosti Tendermint, byly společností Verichains varovány, aby zvýšily svou bezpečnost.
Tým Verichains pravidelně zveřejňuje bezpečnostní chyby a zranitelnosti zjištěné vyšetřováním a testováním na webových stránkách organizace.
Zdroj: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/