Verichains, vodeća tvrtka za sigurnost blockchaina, identificirala je značajne blockchain sigurnosne ranjivosti.
U hitnom javnom savjetovanju za projekte u ekosustavu, tim Verichainsa rekao je da se ranjivosti odnose na verifikaciju dokaza IAVL-a i lažne napade u Tendermint Core i Kosmos. Konkretno, sigurnosni rizici odnose se na kritičnu ranjivost Empty Merkle Tree i IAVL spoofing napad.
Greške povezane s provjerom dokaza IAVL-a Tenderminta
Javno ažuriranje dio je Politike odgovornog otkrivanja ranjivosti tvrtke i dolazi nakon potrebnog razdoblja od 120 dana.
Prema Verichainu, identificirane ranjivosti su "kritičke prirode” i nedostatak radnji mogao bi dovesti do toga da hakeri iskorištavaju bugove za nanošenje daljnje štete. Svi Web3 projekti koji još uvijek izvode IAVL provjeru dokaza na Tendermintu moraju se brzo pokrenuti kako bi osigurali imovinu i ublažili potencijalne rizike iskorištavanja.
Prema platformi, rizici su otkriveni u listopadu 2022. dok je tim tražio ranjivosti nakon hakiranja na BNB Chain mostu. Presuda stručnjaka za sigurnost bila je da je kritični IAVL spoofing napad sugerirao višestruke ranjivosti u BNB lancu i Tendermintu. Ekosustav je mogao biti izložen "značajnom gubitku sredstava", primijetili su stručnjaci.
Iako je prošlog listopada napravljena zakrpa na BNB lancu, isto se nije dogodilo s održavateljem Tendermint/Cosmos. Zakrpa za biblioteku Tendermint Core nije se dogodila jer su Cosmos SDK i IBC migrirali s IAVL Merkle provjere dokaza na ICS-23.
Blockchain prostor vidio je brojne provale na mostovima, s ukradenom digitalnom imovinom vrijednom milijune dolara. Sukladno tome, Verichainovi stručnjaci napominju da projekti ne bi trebali podcjenjivati opseg mogućih proboja, s obzirom na exploit koji je doveo do napada na BNB Chain Cross-Chain Bridge na 2 milijuna BNB vrijednih preko 566 milijuna dolara nezakonito izdanih.
Izvor: https://invezz.com/news/2023/03/08/verichains-discloses-critical-blockchain-security-vulnerabilities/