Nakon pronalaženja više kritičnih ranjivosti, vodeća blockchain sigurnosna tvrtka Verichains preporučila je tvrtkama da koriste Tendermintovu IAVL provjeru dokaza kako bi zaštitile svoju imovinu i smanjile rizike eksploatacije.
Značajnu ranjivost Empty Merkle Tree u IAVL dokazu na Tendermint Coreu, dobro poznatom BFT konsenzusnom stroju, otkrio je Verichains kao dio svog programa za otkrivanje odgovornih ranjivosti u javnom savjetovanju pod naslovom VSA-2022-100. Cosmos Hub i druge blockchaine temeljene na Tendermintu pokreće Tendermint Core konsenzusni mehanizam.
Drugo javno savjetovanje Verichainsa objavljeno je kao VSA-2022-101. Ključni IAVL spoofing napad kroz nekoliko ranjivosti: od nule do spoofinga.
Nakon napada na BNB Chain bridge, Verichains je otkrio ovo otkriće tijekom rada u listopadu prošle godine. Stručnjaci za sigurnost tvrde da je značajna količina sredstava mogla biti izgubljena kao posljedica ozbiljnog IAVL spoofing napada, koji je otkriven kroz nekoliko nedostataka otkrivenih u BNB Chain i Tendermint.
Zbog uspostavljenog radnog odnosa, BNB lanac je obaviješten o ovim rezultatima u listopadu i odmah je riješio problem.
Održavatelj Tenderminta/Cosmosa u isto je vrijeme primio povjerljivu izjavu i prepoznao je nedostatke. Unatoč tome, budući da su se implementacije IBC-a i Cosmos-SDK-a već prebacile s IAVL Merkle provjere dokaza na ICS-23, popravak nije bio dostupan za biblioteku Tendermint. Nekoliko projekata sada je u opasnosti, uključujući Cosmos, Binance Smart Chain, OKX i Kava.
Nakon 120 dana, Verichains je obavijestio javnost u skladu sa svojom Politikom odgovornog otkrivanja ranjivosti. Zbog ključne prirode buga, više hakiranja mosta i posljedični gubici sredstava mogu, u određenim situacijama, koštati milijune ili čak milijarde dolara.
Web3 projekti koji još uvijek koriste Tendermintovu IAVL provjeru dokaza dobili su upozorenje od strane Verichainsa da poboljša njihovu sigurnost.
Tim Verichainsa redovito objavljuje sigurnosne nedostatke i ranjivosti pronađene istragom i testiranjem na web stranici organizacije.
Izvor: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/