Po zistení viacerých kritických zraniteľností, popredná blockchainová bezpečnostná spoločnosť Verichains odporučila spoločnostiam, ktoré využívajú overovacie overenie IAVL spoločnosti Tendermint na ochranu svojich aktív a zníženie rizík využívania.
Významnú zraniteľnosť Empty Merkle Tree v dôkaze IAVL na Tendermint Core, známom nástroji BFT konsenzu, zverejnila spoločnosť Verichains ako súčasť svojho programu Responsible Vulnerability Disclosure vo verejnom poradenstve s názvom VSA-2022-100. Cosmos Hub a ďalšie blockchainy založené na Tenderminte sú poháňané konsenzuálnym motorom Tendermint Core.
Druhé verejné odporúčanie od Verichains je publikované ako VSA-2022-101. Zásadný IAVL spoofingový útok prostredníctvom niekoľkých zraniteľností: od nuly po spoof.
V dôsledku útoku na reťazový most BNB, Verichains objavil tento nález pri práci v októbri minulého roka. Bezpečnostní experti tvrdia, že značné množstvo finančných prostriedkov sa mohlo stratiť v dôsledku vážneho útoku IAVL Spoofing Attack, ktorý bol odhalený prostredníctvom niekoľkých nedostatkov objavených v BNB Chain and Tendermint.
Kvôli nadviazanému pracovnému vzťahu bol BNB Chain o týchto výsledkoch informovaný v októbri a problém okamžite vyriešil.
Správca Tendermint/Cosmos v tom istom čase dostal dôverné informácie a uznali nedostatky. Napriek tomu, keďže implementácia IBC a Cosmos-SDK už prešla z overovania IAVL Merkle na ICS-23, oprava nebola sprístupnená pre knižnicu Tendermint. Niekoľko projektov je teraz v ohrození, vrátane Cosmos, Binance Smart Chain, OKX a Kava.
Po 120 dňoch spoločnosť Verichains informovala verejnosť v súlade so svojimi zásadami zodpovedného zverejňovania zraniteľností. Kvôli zásadnej povahe chyby môže ďalšie hackovanie mostov a následné straty finančných prostriedkov v určitých situáciách stáť milióny alebo dokonca miliardy dolárov.
Projekty Web3, ktoré stále používajú overovacie overenie IAVL spoločnosti Tendermint, boli varované spoločnosťou Verichains, aby zvýšili svoju bezpečnosť.
Tím Verichains pravidelne zverejňuje bezpečnostné chyby a zraniteľné miesta zistené pri vyšetrovaní a testovaní na webovej stránke organizácie.
Zdroj: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/