Etter å ha funnet flere kritiske sårbarheter, anbefalte det ledende blokkjede-sikkerhetsselskapet Verichains selskaper å bruke Tendermints IAVL-sikker verifisering for å beskytte sine eiendeler og redusere utnyttelsesrisikoen.
En betydelig Empty Merkle Tree-sårbarhet i IAVL-beviset på Tendermint Core, en velkjent BFT-konsensusmotor, har blitt avslørt av Verichains som en del av programmet Responsible Vulnerability Disclosure i et offentlig råd med tittelen VSA-2022-100. Cosmos Hub og andre Tendermint-baserte blokkjeder er drevet av Tendermint Core-konsensusmotoren.
En annen offentlig rådgivning fra Verichains er publisert som VSA-2022-101. Avgjørende IAVL-spoofing-angrep gjennom flere sårbarheter: Fra null til forfalskning.
I kjølvannet av BNB Chain bridge-angrepet oppdaget Verichains dette funnet mens hun jobbet i oktober i fjor. Sikkerhetseksperter hevder at en betydelig mengde midler kan ha gått tapt som en konsekvens av det alvorlige IAVL-spoofing-angrepet, som ble oppdaget gjennom flere feil oppdaget i BNB Chain and Tendermint.
På grunn av et etablert samarbeid ble BNB Chain informert om disse resultatene i oktober og løste problemet umiddelbart.
Tendermint/Cosmos-vedlikeholderen mottok samtidig en konfidensiell avsløring, og de anerkjente feilene. Likevel, ettersom implementeringen av IBC og Cosmos-SDK allerede hadde byttet fra IAVL Merkle-bevisverifisering til ICS-23, ble det ikke gjort en reparasjon tilgjengelig for Tendermint-biblioteket. Flere prosjekter er nå i fare, inkludert Cosmos, Binance Smart Chain, OKX og Kava.
Etter 120 dager har Verichains varslet offentligheten i samsvar med retningslinjer for ansvarlig sårbarhet. På grunn av feilens avgjørende natur, kan mer brohacking og påfølgende tap av midler, i visse situasjoner, koste millioner eller til og med milliarder av dollar.
Web3-prosjekter som fortsatt bruker Tendermints IAVL-bevisbekreftelse har blitt advart av Verichains om å forbedre sikkerheten.
Med jevne mellomrom publiserer Verichains-teamet sikkerhetsfeil og sårbarheter funnet via etterforskning og testing på organisasjonens nettside.
Kilde: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/