Pēc vairāku kritisku ievainojamību atklāšanas nozares vadošais blockchain apsardzes uzņēmums Verichains ir ieteicis projektus, kuros tiek izmantota Tendermint IAVL pierādījuma pārbaude, lai veiktu pasākumus, lai aizsargātu savus īpašumus un samazinātu iespējamību, ka tie tiks izmantoti.
Verichains ir sniedzis publisku padomu, VSA-2022-100, par nozīmīgu Empty Merkle Tree ievainojamību IAVL pierādījumā Tendermint Core, ievērojamā BFT vienprātības dzinējā, saskaņā ar informāciju, kas 8. martā tika kopīgota ar Finbold.
Pagājušā gada oktobrī Verichains atklāja šo atradumu, strādājot pēc BNB ķēdes tilta pārrāvuma. Nopietno IAVL viltošanas uzbrukumu atklāja drošības profesionāļi, kuri meklēja nepilnības BNB ķēde un Tendermint. Viņi atklāja daudzus trūkumus, kas lika viņiem secināt, ka uzbrukums, iespējams, izraisīja lielus līdzekļu zaudējumus. Iepriekš pastāvošās sadarbības dēļ BNB ķēde tika informēta par šiem rezultātiem oktobrī un nekavējoties veica labojumu.
Tūlīt Tendermint/Cosmos uzturētājs tika privāti informēts par trūkumiem, un tie tika atzīti. Tomēr Tendermint bibliotēka nesaņēma labojumus, jo IBC un Cosmos-SDK ieviešana jau bija pārgājusi uz ICS-23 no IAVL Merkle pārbaudes verifikācijas. Šobrīd vairāki projekti ir apdraudēti. Starp šiem projektiem ietilpst Kosmoss, Binance Smart Chain, OKX un Kava.
BNB ķēde informēta par konstatējumiem
Otrs publiskais padomdevējs, kas apzīmēts kā VSA-2022-101, ir arī izdevis Verichains From Nil to Spoof — Critical IAVL Spoofing Attack via Multiple Vulnerabilities.
Tas tika darīts kā daļa no tās atbildīgās ievainojamības atklāšanas iniciatīvas. Cosmos Hub un visas pārējās blokķēdes, kas ir veidotas uz Tendermint, darbina vienprātības dzinējs ar nosaukumu Tendermint Core.
Saskaņā ar Verichains atbildīgās ievainojamības atklāšanas politiku uzņēmums nogaidīja 120 dienas pirms ievainojamības publiskošanas. Trūkuma nopietnības dēļ iespējams, ka tiks uzlauzti vēl citi tilti, kā rezultātā tiks zaudēti papildu maksājumi, kas var sasniegt simtiem miljonu vai, iespējams, miljardus dolāru.
Rezultātā Verichains ir ieteicis visiem neaizsargātajiem Web3 projektiem, kas balstās uz Tendermint IAVL drošu verifikāciju, nekavējoties ieviest drošības jauninājumus.
Pēc atklāšanas Verichains komanda nekavējoties atklāj sabiedrībai atklātās ievainojamības un drošības caurumus, izmantojot uzņēmuma vietni.
Avots: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/