Verichains, přední firma zabývající se blockchainovým zabezpečením, identifikovala významné blockchain bezpečnostní zranitelnosti.
V naléhavém veřejném doporučení pro projekty v ekosystému tým Verichains uvedl, že zranitelnosti se týkají ověření IAVL a spoofingových útoků v Tendermint Core a Kosmos. Bezpečnostní rizika se konkrétně týkají kritické zranitelnosti Empty Merkle Tree a IAVL Spoofing Attack.
Chyby související s ověřením důkazu IAVL společnosti Tendermint
Tato veřejná aktualizace je součástí Zásad odpovědného zveřejňování zranitelnosti společnosti a přichází po požadovaném 120denním období.
Podle Verichain jsou identifikované zranitelnosti typu „kritická povaha“ a nedostatek akce by mohl vést k tomu, že hackeři zneužijí chyby k dalšímu poškození. Všechny projekty Web3, které stále používají ověření IAVL na Tendermintu, se musí rychle pohybovat, aby zajistily majetek a zmírnily potenciální rizika zneužití.
Podle platformy byla rizika objevena v říjnu 2022, když tým hledal zranitelnosti po hacku na řetězovém mostě BNB. Verdikt bezpečnostních specialistů zněl, že kritický útok IAVL Spoofing Attack navrhl několik zranitelností v řetězci BNB i Tendermint. Ekosystém mohl být vystaven „významné ztrátě finančních prostředků,“ poznamenali odborníci.
Zatímco loni v říjnu byla provedena oprava na řetězci BNB, totéž se nestalo s správcem Tendermint/Cosmos. Oprava knihovny Tendermint Core neproběhla, protože Cosmos SDK a IBC migrovaly z ověření IAVL Merkle na ICS-23.
Blockchainový prostor zaznamenal četná porušení na mostech, kdy byla ukradena digitální aktiva v hodnotě milionů dolarů. V souladu s tím specialisté společnosti Verichain poznamenávají, že projekty by neměly podceňovat rozsah jakýchkoli potenciálních porušení, vzhledem k tomu, že BNB Chain's Cross-Chain Bridge zaútočil na 2 miliony nezákonně vydaných BNB v hodnotě více než 566 milionů dolarů.
Zdroj: https://invezz.com/news/2023/03/08/verichains-discloses-critical-blockchain-security-vulnerabilities/