Verichains afslører kritiske sikkerhedssårbarheder i blockchain

Verichains, et førende blockchain-sikkerhedsfirma, har identificeret væsentlige blockchain sikkerhedssårbarheder.

I en presserende offentlig rådgivning til projekter i økosystemet sagde Verichains-teamet, at sårbarhederne relaterer sig til IAVL-bevisbekræftelse og spoofingangreb i Tendermint Core og kosmos. Specifikt relaterer sikkerhedsrisiciene til kritisk Empty Merkle Tree-sårbarhed og IAVL Spoofing Attack.

Fejl relateret til Tendermints IAVL-bevisbekræftelse

Den offentlige opdatering er en del af virksomhedens politik for offentliggørelse af ansvarlig sårbarhed og kommer efter den nødvendige 120-dages periode.

Ifølge Verichain er de identificerede sårbarheder af en "kritisk karakter” og manglende handling kan se hackere udnytte fejlene til at forårsage yderligere skade. Alle Web3-projekter, der stadig kører IAVL-bevisverifikationen på Tendermint, skal bevæge sig hurtigt for at sikre aktiver og mindske potentielle udnyttelsesrisici.

Per platformen blev risiciene opdaget i oktober 2022, da holdet finkæmpede for sårbarheder efter et hack på en BNB Chain bridge. Dommen fra sikkerhedsspecialister var, at det kritiske IAVL Spoofing Attack antydede flere sårbarheder i både BNB Chain og Tendermint. Økosystemet kunne have været udsat for "et betydeligt tab af midler," bemærkede eksperterne.

Mens der blev lavet en patch på BNB-kæden i oktober sidste år, skete det samme ikke med Tendermint/Cosmos-vedligeholderen. En patch til Tendermint Core-biblioteket skete ikke, da Cosmos SDK og IBC var migreret fra IAVL Merkle-bevisverifikationen til ICS-23.

Blockchain-området har set adskillige brud på broer, med digitale aktiver for millioner af dollars stjålet. I overensstemmelse hermed bemærker Verichain-specialister, at projekter ikke bør undervurdere omfanget af eventuelle potentielle brud, givet den udnyttelse, der så BNB Chain's Cross-Chain Bridge angrebet på 2 millioner BNB til en værdi af over 566 millioner dollars ulovligt udstedt.