Etter oppdagelsen av flere kritiske sårbarheter, bransjeledende blockchain sikkerhetsselskapet Verichains har anbefalt prosjekter som bruker Tendermints IAVL-bevisbekreftelse for å iverksette tiltak for å beskytte sine eiendeler og redusere sannsynligheten for å bli utnyttet.
Verichains har gitt en offentlig rådgivning, VSA-2022-100, om en betydelig Empty Merkle Tree-sårbarhet i IAVL-beviset på Tendermint Core, en fremtredende BFT-konsensusmotor, ifølge informasjonen som ble delt med Finbold 8. mars.
I oktober i fjor oppdaget Verichains dette funnet da de jobbet i kjølvannet av bruddet på BNB-kjedebroen. Det alvorlige IAVL-spoofing-angrepet ble oppdaget av sikkerhetseksperter som lette etter svakheter i BNB-kjede og Tendermint. De avdekket mange feil, som førte til at de konkluderte med at angrepet kan ha ført til et stort tap av midler. På grunn av et eksisterende samarbeidspartnerskap ble BNB Chain informert om disse resultatene i oktober og implementerte umiddelbart en løsning.
Med en gang ble vedlikeholderen av Tendermint/Cosmos privat informert om feilene, og de ble gjenkjent. Tendermint-biblioteket fikk imidlertid ikke en løsning siden implementeringen av IBC og Cosmos-SDK allerede hadde byttet til ICS-23 fra IAVL Merkle-bevisverifisering. For øyeblikket står flere prosjekter i fare. Blant disse prosjektene inkluderer Kosmos, Binance Smart Chain, OKX og Kava.
BNB-kjeden informerte om funn
En annen offentlig rådgivning, utpekt som VSA-2022-101, har også blitt utstedt av Verichains From Nil to Spoof – Critical IAVL Spoofing Attack via Multiple Vulnerabilities.
Dette ble gjort som en del av initiativet Responsible Vulnerability Disclosure. Cosmos Hub og alle andre blokkjeder som er bygget på Tendermint drives av en konsensusmotor kalt Tendermint Core.
I følge Verichains' retningslinjer for ansvarlig sårbarhet, ventet selskapet 120 dager før det offentliggjorde sårbarheten. På grunn av alvorlighetsgraden av feilen, er det mulig at ytterligere broer kan bli hacket, noe som resulterer i ytterligere tapte betalinger, som kan beløpe seg til hundrevis av millioner, eller kanskje milliarder, av dollar.
Som et resultat har Verichains anbefalt at alle sårbare Web3-prosjekter som er avhengige av Tendermints IAVL-sikre verifisering implementerer umiddelbare sikkerhetsoppgraderinger.
Når de er oppdaget, avslører Verichains-teamet omgående sårbarhetene og sikkerhetshullene de har funnet for offentligheten gjennom selskapets nettsted.
Kilde: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/