Ang Verichains, isang nangungunang blockchain security firm, ay nakilala ang makabuluhang blockchain mga kahinaan sa seguridad.
Sa isang agarang pampublikong pagpapayo sa mga proyekto sa ecosystem, sinabi ng Verichains team na ang mga kahinaan ay nauugnay sa IAVL proof verification at spoofing attacks sa Tendermint Core at Kosmos. Sa partikular, ang mga panganib sa seguridad ay nauugnay sa kritikal na Empty Merkle Tree na kahinaan at IAVL Spoofing Attack.
Mga bug na nauugnay sa IAVL proof verification ng Tendermint
Ang pampublikong update ay bahagi ng Responsible Vulnerability Disclosure Policy ng kumpanya, at darating pagkatapos ng kinakailangang 120-araw na panahon.
Ayon kay Verichain, ang natukoy na mga kahinaan ay isang "pagiging kritikal” at ang kawalan ng aksyon ay maaaring makitang sinasamantala ng mga hacker ang mga bug upang magdulot ng karagdagang pinsala. Ang lahat ng proyekto sa Web3 na nagpapatakbo pa rin ng IAVL proof na pag-verify sa Tendermint ay kailangang gumalaw nang mabilis upang ma-secure ang mga asset at mabawasan ang mga potensyal na panganib sa pagsasamantala.
Ayon sa platform, natuklasan ang mga panganib noong Oktubre 2022 habang nagsusuklay ang team para sa mga kahinaan pagkatapos ng pag-hack sa isang BNB Chain bridge. Ang hatol mula sa mga espesyalista sa seguridad ay ang kritikal na IAVL Spoofing Attack ay nagmungkahi ng maraming kahinaan sa parehong BNB Chain at Tendermint. Ang ecosystem ay maaaring nalantad sa "malaking pagkawala ng mga pondo," ang sabi ng mga eksperto.
Habang ang isang patch ay ginawa sa BNB Chain noong nakaraang Oktubre, hindi ganoon din ang nangyari sa Tendermint/Cosmos maintainer. Ang isang patch sa Tendermint Core library ay hindi nangyari dahil ang Cosmos SDK at IBC ay lumipat mula sa IAVL Merkle proof verification patungo sa ICS-23.
Ang blockchain space ay nakakita ng maraming mga paglabag sa mga tulay, na may milyun-milyong dolyar na halaga ng mga digital na asset na ninakaw. Alinsunod dito, napapansin ng mga espesyalista ng Verichain na hindi dapat maliitin ng mga proyekto ang sukat ng anumang mga posibleng paglabag, dahil sa pagsasamantala na nakitang inatake ang Cross-Chain Bridge ng BNB Chain sa 2 milyong BNB na nagkakahalaga ng mahigit $566 milyon na ilegal na inisyu.
Pinagmulan: https://invezz.com/news/2023/03/08/verichains-discloses-critical-blockchain-security-vulnerabilities/