Verichains atklāj kritiskas blokķēdes drošības ievainojamības

Verichains, vadošais blokķēdes drošības uzņēmums, ir identificējis nozīmīgu blockchain drošības ievainojamības.

Steidzamā publiskajā konsultācijā par projektiem ekosistēmā Verichains komanda norādīja, ka ievainojamības ir saistītas ar IAVL pierādījumu pārbaudi un viltošanas uzbrukumiem Tendermint Core un Kosmoss. Konkrēti, drošības riski ir saistīti ar kritisko Empty Merkle Tree ievainojamību un IAVL viltošanas uzbrukumu.

Kļūdas, kas saistītas ar Tendermint IAVL pierādījumu pārbaudi

Publiskais atjauninājums ir daļa no uzņēmuma atbildīgās ievainojamības atklāšanas politikas, un tas tiek veikts pēc nepieciešamā 120 dienu perioda.

Saskaņā ar Verichain teikto, identificētās ievainojamības ir "kritisks raksturs” un bezdarbības rezultātā hakeri var izmantot kļūdas, lai radītu turpmāku kaitējumu. Visiem Web3 projektiem, kuros joprojām tiek veikta IAVL pierādījuma pārbaude vietnē Tendermint, ir jārīkojas ātri, lai nodrošinātu aktīvus un mazinātu iespējamos ekspluatācijas riskus.

Saskaņā ar platformu riski tika atklāti 2022. gada oktobrī, komandai meklējot ievainojamības pēc uzlaušanas uz BNB ķēdes tilta. Drošības speciālistu spriedums bija tāds, ka kritiskais IAVL spoofing Attack ierosināja vairākas ievainojamības gan BNB ķēdē, gan Tendermint. Eksperti atzīmēja, ka ekosistēma varētu būt pakļauta "ievērojamam līdzekļu zaudējumam".

Kamēr pagājušā gada oktobrī tika izveidots ielāps BNB ķēdei, tas pats nenotika ar Tendermint/Cosmos uzturētāju. Tendermint Core bibliotēkas ielāps nenotika, jo Cosmos SDK un IBC bija migrējuši no IAVL Merkle pierādījuma verifikācijas uz ICS-23.

Blokķēdes telpā ir novēroti daudzi tiltu pārkāpumi, un ir nozagti digitālie aktīvi miljoniem dolāru vērtībā. Attiecīgi Verichain speciālisti atzīmē, ka projektiem nevajadzētu par zemu novērtēt iespējamo pārkāpumu apmēru, ņemot vērā ekspluatāciju, kuras rezultātā BNB ķēdes šķērsķēžu tiltam tika uzbrukts 2 miljonu BNB vērtībā, kuras vērtība pārsniedz 566 miljonus ASV dolāru.