Обнаружив несколько критических уязвимостей, ведущая компания по обеспечению безопасности блокчейнов Verichains рекомендовала компаниям, использующим проверку Tendermint IAVL, для защиты своих активов и снижения рисков эксплуатации.
Значительная уязвимость пустого дерева Меркла в доказательстве IAVL на Tendermint Core, известном механизме консенсуса BFT, была раскрыта Verichains в рамках своей программы ответственного раскрытия уязвимостей в публичном бюллетене под названием ВСА-2022-100. Cosmos Hub и другие блокчейны на основе Tendermint основаны на механизме консенсуса Tendermint Core.
Второй публичный бюллетень от Verichains опубликован как ВСА-2022-101. Критическая спуфинговая атака IAVL через несколько уязвимостей: от нуля до спуфинга.
После атаки моста сети BNB компания Verichains обнаружила это открытие во время работы в октябре прошлого года. Эксперты по безопасности утверждают, что значительная сумма средств могла быть потеряна в результате серьезной спуфинговой атаки IAVL, которая была обнаружена с помощью нескольких недостатков, обнаруженных в BNB Chain и Tendermint.
Благодаря налаженным рабочим отношениям, BNB Chain была проинформирована об этих результатах в октябре и оперативно устранила проблему.
В то же время сопровождающий Tendermint/Cosmos получил конфиденциальное раскрытие и признал недостатки. Тем не менее, поскольку реализация IBC и Cosmos-SDK уже перешла с проверки доказательства Меркла IAVL на ICS-23, исправление не было доступно для библиотеки Tendermint. В настоящее время в опасности несколько проектов, в том числе Cosmos, Binance Smart Chain, OKX и Kava.
Через 120 дней Verichains уведомила общественность в соответствии со своей Политикой ответственного раскрытия информации об уязвимостях. Из-за серьезного характера ошибки дальнейший взлом моста и последующие потери средств могут в определенных ситуациях стоить миллионы или даже миллиарды долларов.
Проекты Web3, которые все еще используют проверку подтверждения Tendermint IAVL, были предупреждены Verichains о необходимости повышения их безопасности.
Команда Verichains регулярно публикует на веб-сайте организации недостатки и уязвимости, обнаруженные в ходе расследования и тестирования.
Источник: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/