Verichains, et ledende blockchain-sikkerhetsfirma, har identifisert betydelige blockchain sikkerhetssårbarheter.
I et presserende offentlig råd til prosjekter i økosystemet sa Verichains-teamet at sårbarhetene er knyttet til IAVL-bevisbekreftelse og falske angrep i Tendermint Core og Kosmos. Spesielt er sikkerhetsrisikoen knyttet til kritisk Empty Merkle Tree-sårbarhet og IAVL Spoofing Attack.
Feil relatert til Tendermints IAVL-bevisbekreftelse
Den offentlige oppdateringen er en del av selskapets retningslinjer for ansvarlig sårbarhet, og kommer etter den nødvendige 120-dagers perioden.
I følge Verichain er de identifiserte sårbarhetene av en "kritisk natur” og mangel på handling kan se at hackere utnytter feilene til å forårsake ytterligere skade. Alle Web3-prosjekter som fortsatt kjører IAVL-bevisverifiseringen på Tendermint, må gå raskt for å sikre eiendeler og redusere potensiell utnyttelsesrisiko.
Per plattformen ble risikoen oppdaget i oktober 2022 da teamet finkjemmet etter sårbarheter etter et hack på en BNB Chain-bro. Dommen fra sikkerhetsspesialister var at det kritiske IAVL Spoofing Attack antydet flere sårbarheter i både BNB Chain og Tendermint. Økosystemet kunne ha blitt utsatt for "et betydelig tap av midler," bemerket ekspertene.
Mens en oppdatering ble laget på BNB-kjeden i oktober i fjor, skjedde ikke det samme med Tendermint/Cosmos-vedlikeholderen. En oppdatering til Tendermint Core-biblioteket skjedde ikke ettersom Cosmos SDK og IBC hadde migrert fra IAVL Merkle-bevisverifiseringen til ICS-23.
Blockchain-området har sett en rekke brudd på broer, med digitale eiendeler for millioner av dollar stjålet. Derfor bemerker Verichain-spesialister at prosjekter ikke bør undervurdere omfanget av eventuelle brudd, gitt utnyttelsen som så BNB Chain's Cross-Chain Bridge angrepet på 2 millioner BNB verdt over $566 millioner ulovlig utstedt.
Kilde: https://invezz.com/news/2023/03/08/verichains-discloses-critical-blockchain-security-vulnerabilities/