Efter att ha hittat flera kritiska sårbarheter rekommenderade det ledande blockkedjesäkerhetsföretaget Verichains företag att använda Tendermints IAVL-bevisa verifiering för att skydda sina tillgångar och minska exploateringsrisker.
En betydande Empty Merkle Tree-sårbarhet i IAVL-beviset på Tendermint Core, en välkänd BFT-konsensusmotor, har avslöjats av Verichains som en del av sitt ansvarsfulla sårbarhetsprogram i en offentlig rådgivning med titeln VSA-2022-100. Cosmos Hub och andra Tendermint-baserade blockkedjor drivs av Tendermint Core-konsensusmotorn.
En andra offentlig rådgivning från Verichains publiceras som VSA-2022-101. Avgörande IAVL-spoofingattack genom flera sårbarheter: från noll till parodi.
I efterdyningarna av BNB Chain Bridge-attacken upptäckte Verichains detta fynd när han arbetade i oktober förra året. Säkerhetsexperter hävdar att en betydande mängd pengar kan ha gått förlorade som en konsekvens av den allvarliga IAVL Spoofing Attack, som upptäcktes genom flera brister som upptäckts i BNB Chain and Tendermint.
På grund av en etablerad arbetsrelation informerades BNB Chain om dessa resultat i oktober och åtgärdade omgående problemet.
Tendermint/Cosmos-underhållaren fick samtidigt ett konfidentiellt avslöjande, och de insåg bristerna. Ändå, eftersom IBC- och Cosmos-SDK-implementeringen redan hade bytt från IAVL Merkle-bevisverifiering till ICS-23, gjordes ingen korrigering tillgänglig för Tendermint-biblioteket. Flera projekt är nu i fara, inklusive Cosmos, Binance Smart Chain, OKX och Kava.
Efter 120 dagar har Verichains meddelat allmänheten i enlighet med sin policy för ansvarsfull sårbarhet. På grund av buggens avgörande karaktär kan fler brygghackning och efterföljande förluster av pengar, i vissa situationer, kosta miljoner eller till och med miljarder dollar.
Web3-projekt som fortfarande använder Tendermints IAVL-bevisverifiering har varnats av Verichains för att förbättra sin säkerhet.
Regelbundet publicerar Verichains-teamet säkerhetsbrister och sårbarheter som hittats via utredning och testning på organisationens webbplats.
Källa: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/