После обнаружения множества критических уязвимостей ведущий в отрасли блокчейн охранная компания Verichains рекомендовала проекты, использующие проверку Tendermint IAVL, для принятия мер по защите своих активов и снижению вероятности их использования.
Verichains предоставила общественный совет, ВСА-2022-100, о значительной уязвимости пустого дерева Меркла в доказательстве IAVL на Tendermint Core, известном механизме консенсуса BFT, согласно информации, предоставленной Finbold 8 марта.
В октябре прошлого года Verichains обнаружила это открытие, когда работала над последствиями взлома моста BNB Chain. Серьезная спуфинговая атака IAVL была обнаружена специалистами по безопасности, которые искали слабые места в Сеть БНБ и Тендерминт. Они обнаружили множество недостатков, что привело их к выводу, что атака могла привести к крупной потере средств. Благодаря ранее существовавшему рабочему партнерству, BNB Chain была проинформирована об этих результатах в октябре и немедленно развернула исправление.
Внезапно сопровождающему Tendermint/Cosmos в частном порядке сообщили о недостатках, и они были обнаружены. Библиотека Tendermint, однако, не получила исправления, поскольку реализация IBC и Cosmos-SDK уже переключилась на ICS-23 после проверки IAVL Merkle. На данный момент несколько проектов находятся под угрозой. К числу таких проектов относятся Космос, Binance Smart Chain, OKX и Кава.
Сеть BNB проинформировала о выводах
Второй общественный совет, обозначенный как ВСА-2022-101, также был выпущен Verichains From Nil to Spoof — Critical IAVL Spoofing Attack с использованием множественных уязвимостей.
Это было сделано в рамках инициативы Responsible Vulnerability Disclosure. Cosmos Hub и все другие блокчейны, построенные на Tendermint, работают на основе механизма консенсуса под названием Tendermint Core.
Согласно Политике ответственного раскрытия информации об уязвимостях Verichains, компания ждала 120 дней, прежде чем обнародовать уязвимость. Из-за серьезности ошибки вполне возможно, что другие мосты могут быть взломаны, что приведет к дополнительным потерянным платежам, которые могут составить сотни миллионов или, возможно, миллиарды долларов.
В результате Verichains рекомендовала, чтобы любые уязвимые проекты Web3, которые полагаются на проверку Tendermint, подтверждающую IAVL, внедрили немедленные обновления безопасности.
После обнаружения команда Verichains незамедлительно раскрывает уязвимости и дыры в безопасности, которые она обнаружила, через сайт компании.
Источник: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/