Useiden kriittisten haavoittuvuuksien löytämisen jälkeen alan johtava blockchain turvayritys Verichains on suositellut hankkeita, joissa käytetään Tendermintin IAVL-todistusvarmennusta, suojatakseen omaisuuttaan ja vähentääkseen hyväksikäytön todennäköisyyttä.
Verichains on antanut julkisen neuvon, VSA-2022-100, merkittävästä Empty Merkle Tree -haavoittuvuudesta IAVL-todistuksessa Tendermint Coressa, näkyvässä BFT-konsensusmoottorissa, Finboldille 8. maaliskuuta jaetun tiedon mukaan.
Viime vuoden lokakuussa Verichains löysi tämän löydön työskennellessään BNB-ketjusillan murtumisen jälkimainingeissa. Vakavan IAVL-huijaushyökkäyksen havaitsivat turvallisuusammattilaiset, jotka etsivät sen heikkouksia BNB ketju ja Tendermint. He paljastivat monia puutteita, jotka saivat heidät päättelemään, että hyökkäys saattoi johtaa suureen varojen menetykseen. Aiemman yhteistyön vuoksi BNB Chainille ilmoitettiin näistä tuloksista lokakuussa ja se otti välittömästi käyttöön korjauksen.
Kerran Tendermint/Cosmos-ylläpitäjälle ilmoitettiin yksityisesti puutteista, ja ne tunnistettiin. Tendermint-kirjasto ei kuitenkaan saanut korjausta, koska IBC- ja Cosmos-SDK-toteutus oli jo siirtynyt ICS-23:een IAVL Merkle -todennuksesta. Tällä hetkellä useat hankkeet ovat vaarassa. Näihin hankkeisiin kuuluu mm Maailmankaikkeus, Binance Smart Chain, OKX ja Kava.
BNB-ketju ilmoitti havainnoista
Toinen julkinen neuvonta, joka on nimetty VSA-2022-101, on myös julkaissut Verichains From Nil to Spoof – Critical IAVL Spoofing Attack via Multiple Vulnerabilities.
Tämä tehtiin osana sen Responsible Vulnerability Disclosure -aloitetta. Cosmos Hub ja kaikki muut Tendermintille rakennetut lohkoketjut saavat voimansa Tendermint Core -nimisestä konsensusmoottorista.
Verichainsin Responsible Vulnerability Disclosure Policyn mukaan yritys odotti 120 päivää ennen kuin haavoittuvuus julkisti. Vian vakavuudesta johtuen on mahdollista, että lisää siltoja saatetaan murtautua, mikä johtaa ylimääräisiin menetettyihin maksuihin, jotka voivat nousta satoihin miljooniin tai ehkä miljardeihin dollareihin.
Tämän seurauksena Verichains on suositellut, että kaikki haavoittuvat Web3-projektit, jotka perustuvat Tendermintin IAVL-varmuuteen, ottavat käyttöön välittömiä tietoturvapäivityksiä.
Kun Verichains-tiimi havaitaan, se paljastaa löytämänsä haavoittuvuudet ja tietoturva-aukot viipymättä yleisölle yrityksen sivuston kautta.
Lähde: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/