Efter upptäckten av flera kritiska sårbarheter, branschledande blockchain säkerhetsföretaget Verichains har rekommenderat projekt som använder Tendermints IAVL-bevisverifiering för att vidta åtgärder för att skydda sina tillgångar och minska sannolikheten för att bli utnyttjad.
Verichains har tillhandahållit en offentlig rådgivning, VSA-2022-100, om en betydande Empty Merkle Tree-sårbarhet i IAVL-beviset på Tendermint Core, en framstående BFT-konsensusmotor, enligt informationen som delades med Finbold den 8 mars.
I oktober förra året upptäckte Verichains detta fynd när de arbetade i efterdyningarna av BNB Chain Bridge-brottet. Den allvarliga IAVL Spoofing Attack upptäcktes av säkerhetspersonal som letade efter svagheter i BNB kedja och Tendermint. De avslöjade många brister, vilket ledde dem till slutsatsen att attacken kan ha lett till en stor förlust av medel. På grund av ett redan existerande samarbete informerades BNB Chain om dessa resultat i oktober och implementerade omedelbart en fix.
På en gång informerades Tendermint/Cosmos-underhållaren privat om bristerna och de kändes igen. Tendermint-biblioteket fick dock ingen fix eftersom implementeringen av IBC och Cosmos-SDK redan hade bytt till ICS-23 från IAVL Merkle-bevisverifiering. För tillfället är flera projekt i riskzonen. Bland dessa projekt finns bl.a Cosmos, Binance Smart Chain, OKX och Kava.
BNB Chain informerade om fynden
Ett andra offentligt råd, betecknat som VSA-2022-101, har också utfärdats av Verichains From Nil to Spoof – Critical IAVL Spoofing Attack via Multiple Vulnerabilities.
Detta gjordes som en del av initiativet Responsible Vulnerability Disclosure. Cosmos Hub och alla andra blockkedjor som är byggda på Tendermint drivs av en konsensusmotor som kallas Tendermint Core.
Enligt Verichains Responsible Vulnerability Disclosure Policy, väntade företaget 120 dagar innan det offentliggjorde sårbarheten. På grund av bristens svårighetsgrad är det möjligt att ytterligare broar kan hackas, vilket resulterar i ytterligare förlorade betalningar, som kan uppgå till hundratals miljoner, eller kanske miljarder dollar.
Som ett resultat av detta har Verichains rekommenderat att alla sårbara Web3-projekt som förlitar sig på Tendermints IAVL-säkra verifiering implementerar omedelbara säkerhetsuppgraderingar.
När de har upptäckts avslöjar Verichains-teamet omedelbart de sårbarheter och säkerhetshål som de har hittat för allmänheten via företagets webbplats.
Källa: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/