Pagkatapos makahanap ng maraming kritikal na kahinaan, ang nangungunang blockchain security company na Verichains ay nagrekomenda ng mga kumpanyang gumagamit ng IAVL proof verification ng Tendermint upang pangalagaan ang kanilang mga asset at bawasan ang mga panganib sa pagsasamantala.
Ang isang makabuluhang kahinaan sa Empty Merkle Tree sa patunay ng IAVL sa Tendermint Core, isang kilalang BFT consensus engine, ay isiniwalat ng Verichains bilang bahagi ng Responsible Vulnerability Disclosure program nito sa isang pampublikong advisory na pinamagatang VSA-2022-100. Ang Cosmos Hub at iba pang mga blockchain na nakabatay sa Tendermint ay pinapagana ng Tendermint Core consensus engine.
Ang pangalawang pampublikong advisory mula sa Verichains ay nai-publish bilang VSA-2022-101. Mahalagang IAVL Spoofing Attack sa pamamagitan ng Ilang Mga Kahinaan: Mula Wala hanggang Spoof.
Sa resulta ng pag-atake sa tulay ng BNB Chain, natuklasan ng Verichains ang paghahanap na ito habang nagtatrabaho noong Oktubre ng nakaraang taon. Sinasabi ng mga eksperto sa seguridad na ang malaking halaga ng mga pondo ay maaaring nawala bilang resulta ng malubhang IAVL Spoofing Attack, na natuklasan sa pamamagitan ng ilang mga bahid na natuklasan sa BNB Chain at Tendermint.
Dahil sa isang itinatag na relasyon sa pagtatrabaho, ang BNB Chain ay ipinaalam sa mga resultang ito noong Oktubre at agad na naayos ang problema.
Ang Tendermint/Cosmos maintainer ay nakatanggap ng isang kumpidensyal na pagsisiwalat sa parehong oras, at nakilala nila ang mga bahid. Gayunpaman, dahil ang pagpapatupad ng IBC at Cosmos-SDK ay lumipat na mula sa IAVL Merkle proof verification sa ICS-23, hindi ginawang available ang isang pag-aayos para sa Tendermint library. Nasa panganib na ngayon ang ilang proyekto, kabilang ang Cosmos, Binance Smart Chain, OKX, at Kava.
Pagkatapos ng 120 araw, inabisuhan ng Verichains ang publiko alinsunod sa Patakaran sa Pagbubunyag ng Responsible Vulnerability nito. Dahil sa mahalagang katangian ng bug, mas maraming tulay na pag-hack at kasunod na pagkalugi ng mga pondo ay maaaring, sa ilang partikular na sitwasyon, ay nagkakahalaga ng milyun-milyon o kahit bilyun-bilyong dolyar.
Ang mga proyekto sa Web3 na gumagamit pa rin ng IAVL proof verification ng Tendermint ay binalaan ng Verichains na pahusayin ang kanilang seguridad.
Sa regular na batayan, ang koponan ng Verichains ay naglalathala ng mga bahid sa seguridad at mga kahinaan na natagpuan sa pamamagitan ng pagsisiyasat at pagsubok sa website ng organisasyon.
Pinagmulan: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/