Μετά την εύρεση πολλών κρίσιμων τρωτών σημείων, η κορυφαία εταιρεία ασφάλειας blockchain, Verichains, συνέστησε στις εταιρείες να χρησιμοποιούν την επαλήθευση απόδειξης IAVL της Tendermint για να προστατεύσουν τα περιουσιακά τους στοιχεία και να μειώσουν τους κινδύνους εκμετάλλευσης.
Μια σημαντική ευπάθεια Empty Merkle Tree στην απόδειξη IAVL στο Tendermint Core, μια γνωστή μηχανή συναίνεσης BFT, αποκαλύφθηκε από τη Verichains ως μέρος του προγράμματος Responsible Vulnerability Disclosure σε μια δημόσια συμβουλευτική με τίτλο VSA-2022-100. Το Cosmos Hub και άλλες blockchain που βασίζονται στο Tendermint τροφοδοτούνται από τη συναινετική μηχανή Tendermint Core.
Μια δεύτερη δημόσια συμβουλευτική από την Verichains δημοσιεύεται ως VSA-2022-101. Κρίσιμη επίθεση πλαστογράφησης IAVL μέσω πολλών τρωτών σημείων: Από το μηδέν έως το πλαστό.
Στον απόηχο της επίθεσης στη γέφυρα BNB Chain, ο Verichains ανακάλυψε αυτό το εύρημα ενώ εργαζόταν τον Οκτώβριο του περασμένου έτους. Εμπειρογνώμονες ασφαλείας ισχυρίζονται ότι ένα σημαντικό ποσό χρημάτων μπορεί να είχε χαθεί ως συνέπεια της σοβαρής επίθεσης πλαστογράφησης IAVL, η οποία ανακαλύφθηκε μέσω πολλών ελαττωμάτων που ανακαλύφθηκαν στο BNB Chain and Tendermint.
Λόγω μιας εδραιωμένης εργασιακής σχέσης, η BNB Chain ενημερώθηκε για αυτά τα αποτελέσματα τον Οκτώβριο και διόρθωσε αμέσως το πρόβλημα.
Ο συντηρητής Tendermint/Cosmos έλαβε μια εμπιστευτική αποκάλυψη ταυτόχρονα και αναγνώρισε τα ελαττώματα. Ωστόσο, καθώς η εφαρμογή IBC και Cosmos-SDK είχε ήδη αλλάξει από την επαλήθευση απόδειξης IAVL Merkle σε ICS-23, δεν ήταν διαθέσιμη μια ενημέρωση κώδικα για τη βιβλιοθήκη Tendermint. Πολλά έργα βρίσκονται τώρα σε κίνδυνο, συμπεριλαμβανομένων των Cosmos, Binance Smart Chain, OKX και Kava.
Μετά από 120 ημέρες, η Verichains έχει ειδοποιήσει το κοινό σύμφωνα με την Πολιτική της Υπεύθυνης Αποκάλυψης Ευπάθειας. Λόγω της κρίσιμης φύσης του σφάλματος, η περαιτέρω παραβίαση γεφυρών και οι επακόλουθες απώλειες κεφαλαίων ενδέχεται, σε ορισμένες περιπτώσεις, να κοστίσουν εκατομμύρια ή και δισεκατομμύρια δολάρια.
Τα έργα Web3 που εξακολουθούν να χρησιμοποιούν την επαλήθευση απόδειξης IAVL της Tendermint έχουν προειδοποιηθεί από τη Verichains για να ενισχύσουν την ασφάλειά τους.
Σε τακτική βάση, η ομάδα της Verichains δημοσιεύει ελαττώματα ασφαλείας και τρωτά σημεία που εντοπίζονται μέσω έρευνας και δοκιμών στον ιστότοπο του οργανισμού.
Πηγή: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/