Po zistení viacerých kritických zraniteľností je na čele tohto odvetvia blockchain bezpečnostná spoločnosť Verichains odporučila projekty využívajúce overenie IAVL spoločnosti Tendermint, aby prijali opatrenia na ochranu ich aktív a znížili pravdepodobnosť ich zneužitia.
Spoločnosť Verichains poskytla verejné poradenstvo, VSA-2022-100, o významnej zraniteľnosti stromu Empty Merkle Tree v dôkaze IAVL na Tendermint Core, prominentnom nástroji BFT konsenzu, podľa informácií zdieľaných s Finboldom 8. marca.
V októbri minulého roka spoločnosť Verichains objavila tento nález, keď pracovala v dôsledku prelomenia reťazového mosta BNB. Vážny IAVL Spoofing Attack bol objavený bezpečnostnými profesionálmi, ktorí hľadali slabiny v BNB reťazec a Tendermint. Odhalili veľa nedostatkov, ktoré ich viedli k záveru, že útok mohol viesť k veľkej strate finančných prostriedkov. Kvôli už existujúcemu pracovnému partnerstvu bol BNB Chain informovaný o týchto výsledkoch v októbri a okamžite nasadil opravu.
Okamžite bol správca Tendermint/Cosmos súkromne informovaný o nedostatkoch a boli rozpoznané. Knižnica Tendermint však nezískala opravu, pretože implementácia IBC a Cosmos-SDK už prešla na ICS-23 z overovacej kontroly IAVL Merkle. V súčasnosti je ohrozených viacero projektov. Medzi tieto projekty patrí Kozmos, Binance Smart Chain, OKX a Kava.
BNB Chain informoval o zisteniach
Druhá verejná poradňa označená ako VSA-2022-101, bol tiež vydaný spoločnosťou Verichains From Nil to Spoof – kritický IAVL spoofing Attack prostredníctvom viacerých zraniteľností.
Stalo sa tak v rámci iniciatívy zodpovedného zverejňovania zraniteľnosti. Cosmos Hub a všetky ostatné blockchainy, ktoré sú postavené na Tenderminte, sú poháňané konsenzuálnym motorom s názvom Tendermint Core.
Podľa Zásady zodpovedného zverejňovania zraniteľnosti spoločnosti Verichains čakala spoločnosť 120 dní, kým zverejnila zraniteľnosť. Vzhľadom na závažnosť chyby je možné, že budú napadnuté ďalšie mosty, čo bude mať za následok ďalšie stratené platby, ktoré môžu predstavovať stovky miliónov alebo možno miliardy dolárov.
V dôsledku toho spoločnosť Verichains odporučila, aby všetky zraniteľné projekty Web3, ktoré sa spoliehajú na overenie Tendermint odolné voči IAVL, implementovali okamžité bezpečnostné aktualizácie.
Po objavení tím Verichains okamžite odhalí zraniteľné miesta a bezpečnostné diery, ktoré našiel, verejnosti prostredníctvom stránky spoločnosti.
Zdroj: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/