Μετά την ανακάλυψη πολλαπλών κρίσιμων τρωτών σημείων, η κορυφαία στον κλάδο blockchain Η εταιρεία ασφαλείας Verichains έχει συστήσει έργα που χρησιμοποιούν την επαλήθευση απόδειξης IAVL της Tendermint για τη λήψη μέτρων για την προστασία των περιουσιακών τους στοιχείων και τη μείωση της πιθανότητας εκμετάλλευσης.
Η Verichains έχει παράσχει μια δημόσια συμβουλευτική, VSA-2022-100, σχετικά με μια σημαντική ευπάθεια Empty Merkle Tree στο IAVL proof στο Tendermint Core, μια εξέχουσα συναινετική μηχανή BFT, σύμφωνα με τις πληροφορίες που κοινοποιήθηκαν με τον Finbold στις 8 Μαρτίου.
Τον Οκτώβριο του περασμένου έτους, η Verichains ανακάλυψε αυτό το εύρημα όταν εργάζονταν μετά την παραβίαση της γέφυρας BNB Chain. Το σοβαρό IAVL Spoofing Attack ανακαλύφθηκε από επαγγελματίες ασφαλείας που αναζητούσαν αδυναμίες Αλυσίδα BNB και Tendermint. Αποκάλυψαν πολλά ελαττώματα, τα οποία τους οδήγησαν στο συμπέρασμα ότι η επίθεση μπορεί να οδήγησε σε σημαντική απώλεια κεφαλαίων. Λόγω μιας προϋπάρχουσας συνεργασίας, η BNB Chain ενημερώθηκε για αυτά τα αποτελέσματα τον Οκτώβριο και ανέπτυξε αμέσως μια επιδιόρθωση.
Αμέσως, ο συντηρητής Tendermint/Cosmos ενημερώθηκε ιδιωτικά για τα ελαττώματα και αναγνωρίστηκαν. Η βιβλιοθήκη Tendermint, ωστόσο, δεν έλαβε μια επιδιόρθωση, καθώς η εφαρμογή IBC και Cosmos-SDK είχε ήδη αλλάξει σε ICS-23 από την επαλήθευση απόδειξης IAVL Merkle. Αυτή τη στιγμή, αρκετά έργα βρίσκονται σε κίνδυνο. Μεταξύ αυτών των έργων περιλαμβάνονται Σύμπαν, Binance Smart Chain, OKX και Κάβα.
Η αλυσίδα BNB ενημερώθηκε για τα ευρήματα
Μια δεύτερη δημόσια συμβουλευτική, που ορίζεται ως VSA-2022-101, έχει επίσης εκδοθεί από την Verichains From Nil to Spoof – Critical IAVL Spoofing Attack μέσω πολλαπλών ευπαθειών.
Αυτό έγινε στο πλαίσιο της πρωτοβουλίας της για την Υπεύθυνη Αποκάλυψη ευπάθειας. Το Cosmos Hub και όλα τα άλλα blockchain που είναι χτισμένα στο Tendermint τροφοδοτούνται από μια μηχανή συναίνεσης που ονομάζεται Tendermint Core.
Σύμφωνα με την Πολιτική Υπεύθυνης Αποκάλυψης Ευπάθειας της Verichains, η εταιρεία περίμενε 120 ημέρες πριν δημοσιοποιήσει την ευπάθεια. Λόγω της σοβαρότητας του ελαττώματος, είναι πιθανό να παραβιαστούν και άλλες γέφυρες, με αποτέλεσμα πρόσθετες χαμένες πληρωμές, οι οποίες μπορεί να ανέρχονται σε εκατοντάδες εκατομμύρια ή ίσως δισεκατομμύρια δολάρια.
Ως αποτέλεσμα, η Verichains έχει συστήσει σε οποιαδήποτε ευάλωτα έργα Web3 που βασίζονται στην επαλήθευση IAVL-proof της Tendermint να εφαρμόζουν άμεσες αναβαθμίσεις ασφαλείας.
Μόλις ανακαλυφθεί, η ομάδα της Verichains αποκαλύπτει αμέσως τα τρωτά σημεία και τις τρύπες ασφαλείας που έχει βρει στο κοινό μέσω του ιστότοπου της εταιρείας.
Πηγή: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/