Verichains, ett ledande blockchain-säkerhetsföretag, har identifierat betydande blockchain säkerhetsbrister.
I en brådskande offentlig rådgivning till projekt i ekosystemet sa Verichains-teamet att sårbarheterna hänför sig till IAVL-bevisverifiering och spoofingattacker i Tendermint Core och Cosmos. Specifikt relaterar säkerhetsriskerna till kritisk Empty Merkle Tree sårbarhet och IAVL Spoofing Attack.
Buggar relaterade till Tendermints IAVL-bevisverifiering
Den offentliga uppdateringen är en del av företagets policy för ansvarsfull sårbarhet och kommer efter den erforderliga 120-dagarsperioden.
Enligt Verichain är de identifierade sårbarheterna av en "kritisk natur” och brist på åtgärder kan se hackare utnyttja buggarna för att orsaka ytterligare skada. Alla Web3-projekt som fortfarande kör IAVL-bevisverifieringen på Tendermint måste gå snabbt för att säkra tillgångar och minska potentiella exploateringsrisker.
Per plattformen upptäcktes riskerna i oktober 2022 när teamet kammade efter sårbarheter efter ett hack på en BNB Chain-bro. Domen från säkerhetsspecialister var att den kritiska IAVL Spoofing Attack antydde flera sårbarheter i både BNB Chain och Tendermint. Ekosystemet kunde ha utsatts för "en betydande förlust av medel", noterade experterna.
Medan en patch gjordes på BNB-kedjan i oktober förra året, hände inte samma sak med Tendermint/Cosmos-underhållaren. En patch till Tendermint Core-biblioteket hände inte eftersom Cosmos SDK och IBC hade migrerat från IAVL Merkle-bevisverifieringen till ICS-23.
Blockchain-utrymmet har sett många intrång på broar, med digitala tillgångar för miljontals dollar stulna. Följaktligen noterar Verichain-specialister att projekt inte bör underskatta omfattningen av eventuella intrång, med tanke på exploateringen som såg att BNB Chain's Cross-Chain Bridge attackerades på 2 miljoner BNB värda över 566 miljoner dollar olagligt utfärdade.
Källa: https://invezz.com/news/2023/03/08/verichains-discloses-critical-blockchain-security-vulnerabilities/