Efter at have fundet flere kritiske sårbarheder anbefalede det førende blockchain-sikkerhedsfirma Verichains virksomheder at anvende Tendermints IAVL-bevis verifikation for at beskytte deres aktiver og reducere udnyttelsesrisici.
En betydelig Empty Merkle Tree-sårbarhed i IAVL-beviset på Tendermint Core, en velkendt BFT-konsensusmotor, er blevet afsløret af Verichains som en del af dets ansvarlige sårbarhedsdisclosure-program i en offentlig rådgivning med titlen VSA-2022-100. Cosmos Hub og andre Tendermint-baserede blockchains er drevet af Tendermint Core-konsensusmotoren.
En anden offentlig rådgivning fra Verichains udgives som VSA-2022-101. Afgørende IAVL-spoofingangreb gennem flere sårbarheder: Fra nul til spoof.
I kølvandet på BNB Chain bridge-angrebet opdagede Verichains dette fund, mens hun arbejdede i oktober sidste år. Sikkerhedseksperter hævder, at en betydelig mængde midler kan være gået tabt som følge af det alvorlige IAVL Spoofing Attack, som blev opdaget gennem adskillige fejl opdaget i BNB Chain and Tendermint.
På grund af et etableret arbejdsforhold blev BNB Chain informeret om disse resultater i oktober og fik straks løst problemet.
Tendermint/Cosmos-vedligeholderen modtog en fortrolig afsløring på samme tid, og de anerkendte fejlene. Ikke desto mindre, da IBC- og Cosmos-SDK-implementeringen allerede var skiftet fra IAVL Merkle-bevisbekræftelse til ICS-23, blev en rettelse ikke gjort tilgængelig for Tendermint-biblioteket. Flere projekter er nu i fare, herunder Cosmos, Binance Smart Chain, OKX og Kava.
Efter 120 dage har Verichains underrettet offentligheden i overensstemmelse med sin politik for offentliggørelse af ansvarlig sårbarhed. På grund af fejlens afgørende karakter kan mere brohacking og deraf følgende pengetab i visse situationer koste millioner eller endda milliarder af dollars.
Web3-projekter, der stadig bruger Tendermints IAVL-bevisbekræftelse, er blevet advaret af Verichains for at forbedre deres sikkerhed.
Med jævne mellemrum offentliggør Verichains-teamet sikkerhedsfejl og sårbarheder fundet via undersøgelse og test på organisationens hjemmeside.
Kilde: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/