Виявивши численні критичні вразливості, провідна компанія безпеки блокчейнів Verichains порекомендувала компаніям використовувати доказову перевірку IAVL від Tendermint, щоб захистити свої активи та зменшити ризики експлуатації.
Значну вразливість Empty Merkle Tree у доказі IAVL на Tendermint Core, відомому механізмі консенсусу BFT, було розкрито компанією Verichains у рамках програми відповідального розкриття вразливостей у публічній консультації під назвою VSA-2022-100. Cosmos Hub та інші блокчейни на основі Tendermint працюють на механізмі консенсусу Tendermint Core.
Друге публічне повідомлення від Verichains опубліковано як VSA-2022-101. Важлива підробна атака IAVL через кілька вразливостей: від нуля до підробки.
Після атаки на міст BNB Chain компанія Verichains виявила цю знахідку під час роботи в жовтні минулого року. Експерти з безпеки стверджують, що значна кількість коштів могла бути втрачена внаслідок серйозної атаки IAVL Spoofing Attack, яку було виявлено через кілька недоліків, виявлених у BNB Chain і Tendermint.
Завдяки налагодженим робочим відносинам мережа BNB була поінформована про ці результати в жовтні та негайно усунула проблему.
Водночас супроводжувач Tendermint/Cosmos отримав конфіденційне повідомлення, і вони визнали недоліки. Тим не менш, оскільки реалізація IBC і Cosmos-SDK вже перейшла з перевірки доказів IAVL Merkle на ICS-23, виправлення для бібліотеки Tendermint не було доступним. Кілька проектів зараз у небезпеці, включаючи Cosmos, Binance Smart Chain, OKX і Kava.
Через 120 днів компанія Verichains повідомила громадськість відповідно до своєї Політики відповідального розкриття вразливостей. Через вирішальний характер помилки подальші зломи мостів і відповідні втрати коштів можуть у певних ситуаціях коштувати мільйони або навіть мільярди доларів.
Проекти Web3, які все ще використовують перевірку IAVL від Tendermint, отримали попередження від Verichains, щоб підвищити їх безпеку.
На регулярній основі команда Verichains публікує на веб-сайті організації недоліки та вразливості безпеки, виявлені під час дослідження та тестування.
Джерело: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/