Verichains, провідна фірма з безпеки блокчейнів, виявила значний blockchain вразливості безпеки.
У терміновій публічній консультації щодо проектів в екосистемі команда Verichains заявила, що вразливості пов’язані з перевіркою доказів IAVL і атаками спуфінгу в Tendermint Core і Космос. Зокрема, ризики безпеки пов’язані з критичною вразливістю Empty Merkle Tree та атакою IAVL Spoofing.
Помилки, пов’язані з перевіркою доказів IAVL у Tendermint
Загальнодоступне оновлення є частиною Політики відповідального розкриття вразливостей компанії та з’являється після необхідного 120-денного періоду.
За словами Verichain, виявлені вразливості є «критичний характер», а відсутність дій може призвести до того, що хакери використають помилки, щоб завдати подальшої шкоди. Усі проекти Web3, які все ще виконують перевірку доказів IAVL на Tendermint, повинні швидко рухатися, щоб захистити активи та зменшити потенційні ризики використання.
Згідно з платформою, ризики були виявлені в жовтні 2022 року, коли команда шукала вразливості після злому мосту BNB Chain. Фахівці з безпеки дійшли висновку, що критична атака IAVL Spoofing Attack свідчить про численні вразливості як у BNB Chain, так і в Tendermint. Експерти відзначили, що екосистема могла зазнати «значної втрати коштів».
Хоча в жовтні минулого року було внесено виправлення в мережу BNB, цього не сталося з програмою підтримки Tendermint/Cosmos. Виправлення до бібліотеки Tendermint Core не відбулося, оскільки Cosmos SDK і IBC перейшли з перевірки IAVL Merkle на ICS-23.
У просторі блокчейнів зафіксовано численні злами на мостах, у яких викрадено цифрові активи на мільйони доларів. Відповідно, спеціалісти Verichain зазначають, що проекти не повинні недооцінювати масштаби будь-яких потенційних порушень, враховуючи експлойт, який став причиною атаки на Cross-Chain Bridge BNB Chain на 2 мільйони незаконно випущених BNB на суму понад 566 мільйонів доларів.
Джерело: https://invezz.com/news/2023/03/08/verichains-discloses-critical-blockchain-security-vulnerabilities/