Фінансові установи

Verichains попереджає проекти Cosmos, BSC, OKX про серйозні недоліки безпеки

03/08/2023
Новини Bitcoin Ethereum

Після виявлення кількох критичних вразливостей, лідер галузі blockchain охоронна компанія Verichains рекомендує проекти, які використовують перевірку IAVL від Tendermint, щоб вжити заходів для захисту своїх активів і зменшити ймовірність використання. 

Verichains надала публічну консультацію, VSA-2022-100, про значну вразливість Empty Merkle Tree у доказі IAVL на Tendermint Core, відомому механізмі консенсусу BFT, згідно з інформацією, наданою Finbold 8 березня.

У жовтні минулого року компанія Verichains виявила цю знахідку, коли працювала після прориву мосту BNB Chain. Серйозна атака IAVL Spoofing була виявлена ​​фахівцями з безпеки, які шукали слабкі місця в Мережа BNB і ніжна м'ята. Вони виявили багато недоліків, які привели їх до висновку, що атака могла призвести до значної втрати коштів. Завдяки попередньому робочому партнерству мережа BNB була поінформована про ці результати в жовтні та негайно розгорнула виправлення. 

Відразу супроводжувач Tendermint/Cosmos був приватно поінформований про недоліки, і вони були визнані. Однак бібліотека Tendermint не отримала виправлення, оскільки реалізація IBC і Cosmos-SDK уже перейшла на ICS-23 із верифікації IAVL Merkle. На даний момент кілька проектів під загрозою. До числа таких проектів входять Космос, Binance Smart Chain, OKX та Кава

Про знахідки повідомила мережа БНБ

Друга громадська консультація, позначена як VSA-2022-101, також було видано Verichains. Від нуля до підробки – критична атака підробки IAVL через численні вразливості. 

Це було зроблено в рамках ініціативи «Відповідальне розкриття вразливостей». Cosmos Hub і всі інші блокчейни, побудовані на Tendermint, працюють на консенсусному механізмі під назвою Tendermint Core.

Відповідно до Політики відповідального розкриття вразливостей Verichains, компанія чекала 120 днів, перш ніж оприлюднити вразливість. Через серйозність недоліку можливо, що інші мости можуть бути зламані, що призведе до додаткових втрачених платежів, які можуть становити сотні мільйонів або, можливо, мільярди доларів. 

Як наслідок, Verichains рекомендував, щоб будь-які вразливі проекти Web3, які покладаються на надійну перевірку IAVL від Tendermint, негайно оновили систему безпеки. 

Після виявлення команда Verichains негайно розкриває громадськості про вразливості та діри в безпеці через сайт компанії.

Джерело: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/