Efter opdagelsen af adskillige kritiske sårbarheder er den brancheførende blockchain sikkerhedsfirmaet Verichains har anbefalet projekter, der bruger Tendermints IAVL-bevis verifikation til at træffe foranstaltninger for at beskytte deres aktiver og reducere sandsynligheden for at blive udnyttet.
Verichains har leveret en offentlig rådgivning, VSA-2022-100, om en betydelig Empty Merkle Tree-sårbarhed i IAVL-beviset på Tendermint Core, en fremtrædende BFT-konsensusmotor, ifølge oplysningerne delt med Finbold den 8. marts.
I oktober sidste år opdagede Verichains dette fund, da de arbejdede i kølvandet på BNB-kædebrobruddet. Det alvorlige IAVL Spoofing Attack blev opdaget af sikkerhedsprofessionelle, der ledte efter svagheder i BNB kæde og Tendermint. De afslørede mange fejl, som førte dem til den konklusion, at angrebet kan have ført til et stort tab af midler. På grund af et allerede eksisterende samarbejde blev BNB Chain informeret om disse resultater i oktober og implementerede straks en rettelse.
Med det samme blev Tendermint/Cosmos-vedligeholderen privat informeret om fejlene, og de blev genkendt. Tendermint-biblioteket fik dog ikke en rettelse, da IBC- og Cosmos-SDK-implementeringen allerede var skiftet til ICS-23 fra IAVL Merkle-bevisbekræftelse. I øjeblikket er flere projekter i fare. Blandt disse projekter er bl.a kosmos, Binance Smart Chain, OKX og Kava.
BNB Chain informeret om fund
En anden offentlig rådgivning, udpeget som VSA-2022-101, er også blevet udstedt af Verichains From Nil to Spoof – Critical IAVL Spoofing Attack via Multiple Vulnerabilities.
Dette blev gjort som en del af initiativet Responsible Vulnerability Disclosure. Cosmos Hub og alle andre blockchains, der er bygget på Tendermint, er drevet af en konsensusmotor kaldet Tendermint Core.
I henhold til Verichains' ansvarlige sårbarhedspolitik ventede virksomheden 120 dage, før den offentliggjorde sårbarheden. På grund af fejlens alvor er det muligt, at yderligere broer kan blive hacket, hvilket resulterer i yderligere tabte betalinger, som kan beløbe sig til hundredvis af millioner eller måske milliarder af dollars.
Som følge heraf har Verichains anbefalet, at alle sårbare Web3-projekter, der er afhængige af Tendermints IAVL-sikre verifikation, implementerer øjeblikkelige sikkerhedsopgraderinger.
Når de er opdaget, afslører Verichains-teamet omgående de sårbarheder og sikkerhedshuller, det har fundet, til offentligheden gennem virksomhedens websted.
Kilde: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/