Nakon otkrića više kritičnih ranjivosti, vodeći u industriji blockchain sigurnosna tvrtka Verichains preporučila je projekte koji koriste Tendermintovu IAVL provjeru dokaza kako bi poduzeli mjere za zaštitu svoje imovine i smanjili vjerojatnost iskorištavanja.
Verichains je pružio javno savjetovanje, VSA-2022-100, o značajnoj ranjivosti Empty Merkle Tree u IAVL dokazu na Tendermint Coreu, istaknutom BFT konsenzusnom stroju, prema informacijama podijeljenim s Finboldom 8. ožujka.
U listopadu prošle godine Verichains je otkrio ovo otkriće dok su radili nakon proboja BNB Chain mosta. Ozbiljan IAVL spoofing napad otkrili su sigurnosni stručnjaci koji su tražili slabosti u BNB lanac i Tendermint. Otkrili su mnoge nedostatke, što ih je dovelo do zaključka da je napad možda doveo do velikog gubitka sredstava. Zbog prethodnog radnog partnerstva, BNB lanac je obaviješten o ovim rezultatima u listopadu i odmah je implementirao popravak.
Odjednom je održavatelj Tenderminta/Cosmosa privatno obaviješten o nedostacima i oni su prepoznati. Knjižnica Tendermint, međutim, nije dobila popravak budući da su IBC i Cosmos-SDK implementacija već prešli na ICS-23 s IAVL Merkleove provjere dokaza. Trenutačno je nekoliko projekata ugroženo. Među tim projektima su Kosmos, Binance Smart Chain, OKX i Kava.
Lanac BNB obaviješten o nalazima
Drugo javno savjetovanje, označeno kao VSA-2022-101, također je izdao Verichains From Nil to Spoof – Critical IAVL Spoofing Attack via Multiple Vulnerabilities.
To je učinjeno u sklopu inicijative za odgovorno otkrivanje ranjivosti. Cosmos Hub i svi drugi blockchaini koji su izgrađeni na Tendermintu pokreće konsenzusni mehanizam koji se zove Tendermint Core.
Prema Verichainsovoj politici odgovornog otkrivanja ranjivosti, tvrtka je čekala 120 dana prije nego što je javno objavila ranjivost. Zbog ozbiljnosti greške, moguće je da daljnji mostovi mogu biti hakirani, što će rezultirati dodatnim izgubljenim isplatama, koje mogu iznositi stotine milijuna, ili možda milijarde dolara.
Kao rezultat toga, Verichains je preporučio da svi ranjivi Web3 projekti koji se oslanjaju na Tendermintovu verifikaciju otpornu na IAVL provedu trenutnu sigurnosnu nadogradnju.
Nakon što se otkriju, tim Verichainsa promptno otkriva javnosti ranjivosti i sigurnosne rupe koje je pronašao putem web stranice tvrtke.
Izvor: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/