Matapos ang pagtuklas ng maraming kritikal na kahinaan, ang nangunguna sa industriya blockchain Ang kumpanya ng seguridad na Verichains ay nagrekomenda ng mga proyekto gamit ang IAVL proof verification ng Tendermint upang gumawa ng mga hakbang upang maprotektahan ang kanilang mga asset at mabawasan ang posibilidad na mapagsamantalahan.
Ang Verichains ay nagbigay ng pampublikong payo, VSA-2022-100, tungkol sa isang makabuluhang kahinaan sa Empty Merkle Tree sa IAVL proof sa Tendermint Core, isang kilalang BFT consensus engine, ayon sa impormasyong ibinahagi sa Finbold noong Marso 8.
Noong Oktubre ng nakaraang taon, natuklasan ng Verichains ang paghahanap na ito noong nagtatrabaho sila pagkatapos ng paglabag sa tulay ng BNB Chain. Ang seryosong IAVL Spoofing Attack ay natuklasan ng mga propesyonal sa seguridad na naghahanap ng mga kahinaan Kadena ng BNB at Tendermint. Natuklasan nila ang maraming mga kapintasan, na humantong sa kanilang konklusyon na ang pag-atake ay maaaring humantong sa isang malaking pagkawala ng mga pondo. Dahil sa dati nang umiiral na pakikipagtulungan, ipinaalam sa BNB Chain ang mga resultang ito noong Oktubre at agad na nag-deploy ng pag-aayos.
Sabay-sabay, ang tagapagpanatili ng Tendermint/Cosmos ay pribado na ipinaalam sa mga bahid, at sila ay nakilala. Ang Tendermint library, gayunpaman, ay hindi naayos dahil ang pagpapatupad ng IBC at Cosmos-SDK ay lumipat na sa ICS-23 mula sa IAVL Merkle proof verification. Sa ngayon, maraming mga proyekto ang nasa panganib. Kabilang sa mga proyektong ito ang Kosmos, Binance Smart Chain, OKX, at Kava.
Ipinaalam ng BNB Chain ang mga natuklasan
Ang pangalawang pampublikong advisory, itinalaga bilang VSA-2022-101, ay inisyu rin ng Verichains From Nil to Spoof – Critical IAVL Spoofing Attack sa pamamagitan ng Multiple Vulnerabilities.
Ginawa ito bilang bahagi ng inisyatiba ng Responsible Vulnerability Disclosure nito. Ang Cosmos Hub at lahat ng iba pang blockchain na binuo sa Tendermint ay pinapagana ng isang consensus engine na tinatawag na Tendermint Core.
Ayon sa Responsible Vulnerability Disclosure Policy ng Verichains, naghintay ang kumpanya ng 120 araw bago isapubliko ang kahinaan. Dahil sa tindi ng kapintasan, posibleng ma-hack ang mga karagdagang tulay, na magreresulta sa mga karagdagang nawalang bayad, na maaaring umabot sa daan-daang milyon, o marahil bilyun-bilyon, na dolyar.
Bilang resulta, ang Verichains ay nagrekomenda na ang anumang mga mahihinang proyekto sa Web3 na umaasa sa IAVL-proof na pag-verify ng Tendermint ay magpatupad ng mga agarang pag-upgrade sa seguridad.
Kapag nadiskubre, agad na ibinunyag ng Verichains team ang mga kahinaan at mga butas sa seguridad na nakita nito sa publiko sa pamamagitan ng site ng kumpanya.
Pinagmulan: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/