Pēc vairāku kritisku ievainojamību atrašanas vadošais blokķēdes drošības uzņēmums Verichains ieteica uzņēmumiem, kas izmanto Tendermint IAVL pierādījumu pārbaudi, lai aizsargātu savus īpašumus un samazinātu ekspluatācijas riskus.
Uzņēmums Verichains savā atbildīgās ievainojamības atklāšanas programmas ietvaros ir atklājis nozīmīgu Empty Merkle Tree ievainojamību IAVL pierādījumā par Tendermint Core, plaši pazīstamo BFT vienprātības programmu. VSA-2022-100. Cosmos Hub un citas Tendermint bāzes blokķēdes darbina Tendermint Core konsensa dzinējs.
Otrs publiskais paziņojums no Verichains ir publicēts kā VSA-2022-101. Izšķirošais IAVL mānīšanās uzbrukums, izmantojot vairākas ievainojamības: no nulles līdz maldināšanai.
Pēc BNB ķēdes tilta uzbrukuma Verihains atklāja šo atradumu, strādājot pagājušā gada oktobrī. Drošības eksperti apgalvo, ka nopietnā IAVL krāpšanās uzbrukuma rezultātā, kas tika atklāts, izmantojot vairākus BNB ķēdē un Tendermint atklātos trūkumus, varētu būt zaudēts ievērojams daudzums līdzekļu.
Pateicoties nodibinātajām darba attiecībām, BNB ķēde par šiem rezultātiem tika informēta oktobrī un operatīvi novērsa problēmu.
Tendermint/Cosmos uzturētājs tajā pašā laikā saņēma konfidenciālu informāciju, un viņi atklāja trūkumus. Tomēr, tā kā IBC un Cosmos-SDK ieviešana jau bija pārgājusi no IAVL Merkle pārbaudes verifikācijas uz ICS-23, Tendermint bibliotēkai labojums nebija pieejams. Vairāki projekti tagad ir apdraudēti, tostarp Cosmos, Binance Smart Chain, OKX un Kava.
Pēc 120 dienām uzņēmums Verichains ir informējis sabiedrību saskaņā ar savu atbildīgās ievainojamības atklāšanas politiku. Kļūdas būtiskā rakstura dēļ vairāk tiltu uzlaušanas un ar to saistītie līdzekļu zaudējumi noteiktās situācijās var izmaksāt miljoniem vai pat miljardu dolāru.
Uzņēmums Verichains ir brīdinājis Web3 projektus, kuros joprojām tiek izmantota Tendermint IAVL pārbaudes pārbaude, lai uzlabotu to drošību.
Verichains komanda regulāri publicē organizācijas tīmekļa vietnē drošības trūkumus un ievainojamības, kas atklātas, veicot izmeklēšanu un testēšanu.
Avots: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/