Po objevení několika kritických zranitelností je špička v oboru blockchain bezpečnostní společnost Verichains doporučila projekty využívající ověření IAVL společnosti Tendermint k přijetí opatření na ochranu jejich majetku a snížení pravděpodobnosti jejich zneužití.
Společnost Verichains poskytla veřejné poradenství, VSA-2022-100, o významné zranitelnosti Empty Merkle Tree v IAVL proof na Tendermint Core, prominentním BFT konsensuálním enginu, podle informací sdílených s Finboldem 8. března.
V říjnu loňského roku Verichains objevili tento nález, když pracovali v důsledku prolomení řetězového mostu BNB. Vážný IAVL Spoofing Attack objevili bezpečnostní profesionálové, kteří v něm hledali slabiny Řetěz BNB a Tendermint. Odhalili mnoho nedostatků, které je vedly k závěru, že útok mohl vést k velké ztrátě finančních prostředků. Vzhledem k již existujícímu pracovnímu partnerství byl BNB Chain o těchto výsledcích informován v říjnu a okamžitě nasadil opravu.
Najednou byl správce Tendermint/Cosmos soukromě informován o nedostatcích a byly rozpoznány. Knihovna Tendermint se však nedočkala opravy, protože implementace IBC a Cosmos-SDK již přešla na ICS-23 z ověření IAVL Merkle. V současné době je ohroženo několik projektů. Mezi tyto projekty patří Kosmos, Binance Smart Chain, OKX a Kava.
BNB Chain informoval o zjištěních
Druhý veřejný poradní orgán označený jako VSA-2022-101, byl také vydán společností Verichains From Nil to Spoof – kritický IAVL spoofing Attack prostřednictvím více zranitelností.
Stalo se tak v rámci iniciativy Responsible Vulnerability Disclosure. Cosmos Hub a všechny ostatní blockchainy, které jsou postaveny na Tendermintu, jsou poháněny motorem shody nazvaným Tendermint Core.
Podle zásad společnosti Verichains Responsible Vulnerability Disclosure Policy společnost čekala 120 dní, než zranitelnost zveřejnila. Vzhledem k závažnosti chyby je možné, že budou hacknuty další mosty, což povede k dalším ztraceným platbám, které mohou činit stovky milionů nebo možná miliardy dolarů.
V důsledku toho společnost Verichains doporučila, aby všechny zranitelné projekty Web3, které se spoléhají na ověření odolné vůči IAVL společnosti Tendermint, implementovaly okamžité aktualizace zabezpečení.
Jakmile je tým Verichains odhalen, okamžitě odhalí zranitelnosti a bezpečnostní díry, které našel, veřejnosti prostřednictvím webových stránek společnosti.
Zdroj: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/