Verichains, johtava blockchain-turvayritys, on tunnistanut merkittäviä blockchain tietoturva-aukkoja.
Kiireellisessä julkisessa neuvonnassa ekosysteemin projekteille Verichains-tiimi sanoi, että haavoittuvuudet liittyvät IAVL-varmistukseen ja huijaushyökkäyksiin Tendermint Coressa ja Maailmankaikkeus. Erityisesti tietoturvariskit liittyvät kriittiseen Empty Merkle Tree -haavoittuvuuteen ja IAVL-huijaushyökkäykseen.
Bugeja, jotka liittyvät Tendermintin IAVL-todennukseen
Julkinen päivitys on osa yhtiön vastuullisen haavoittuvuuden paljastamispolitiikkaa, ja se tulee vaaditun 120 päivän jakson jälkeen.
Verichainin mukaan tunnistetut haavoittuvuudet ovat "kriittinen luonne”, ja jos toimenpiteitä ei tehdä, hakkerit voivat hyödyntää bugeja aiheuttaakseen lisähaittaa. Kaikkien Web3-projektien, joissa on edelleen käynnissä IAVL-todentaminen Tendermintissa, on edettävä nopeasti varojen turvaamiseksi ja mahdollisten hyödyntämisriskien vähentämiseksi.
Alustan mukaan riskit havaittiin lokakuussa 2022, kun tiimi etsi haavoittuvuuksia BNB-ketjusillalle tehdyn hakkeroinnin jälkeen. Tietoturvaasiantuntijoiden tuomio oli, että kriittinen IAVL Spoofing Attack ehdotti useita haavoittuvuuksia sekä BNB Chainissa että Tendermintissa. Asiantuntijat totesivat, että ekosysteemi olisi voinut altistua "merkittävälle varojen menetykselle".
Vaikka BNB-ketjuun tehtiin korjaus viime lokakuussa, sama ei tapahtunut Tendermint/Cosmos-ylläpitäjän kanssa. Tendermint Core -kirjaston korjausta ei tapahtunut, koska Cosmos SDK ja IBC olivat siirtyneet IAVL Merkle -todennuksesta ICS-23:een.
Lohkoketjutilassa on havaittu lukuisia rikkomuksia silloilla, ja miljoonien dollarien arvosta digitaalista omaisuutta on varastettu. Näin ollen Verichainin asiantuntijat huomauttavat, että hankkeiden ei pitäisi aliarvioida mahdollisten rikkomusten laajuutta, kun otetaan huomioon hyväksikäyttö, jonka seurauksena BNB Chainin Cross-Chain Bridgeä vastaan hyökättiin 2 miljoonalla BNB:llä, joiden arvo on yli 566 miljoonaa dollaria laittomasti.
Lähde: https://invezz.com/news/2023/03/08/verichains-discloses-critical-blockchain-security-vulnerabilities/