По откривањето на повеќе критични пропусти, водечките во индустријата blockchain безбедносната компанија Verichains препорача проекти со користење на доказната верификација на IAVL на Tendermint за да се преземат мерки за заштита на нивните средства и намалување на веројатноста да бидат експлоатирани.
Verichains даде јавен совет, VSA-2022-100, за значајна ранливост на Empty Merkle Tree во доказот IAVL на Tendermint Core, истакнат мотор со консензус на BFT, според информациите споделени со Finbold на 8 март.
Во октомври минатата година, Verichains го откри ова откритие кога работеа како последица на пробивањето на мостот BNB Chain. Сериозниот IAVL Spoofing Attack беше откриен од безбедносни професионалци кои бараа слабости во BNB синџир и Tendermint. Откриле многу недостатоци, што ги навело до заклучок дека нападот можеби довел до голема загуба на средства. Поради претходно постоечко работно партнерство, BNB Chain беше информиран за овие резултати во октомври и веднаш спроведе поправка.
Веднаш, одржувачот на Tendermint/Cosmos беше приватно информиран за недостатоците и тие беа препознаени. Меѓутоа, библиотеката Tendermint не доби поправка бидејќи имплементацијата на IBC и Cosmos-SDK веќе се префрли на ICS-23 од верификацијата доказ за IAVL Merkle. Во моментов неколку проекти се во ризик. Меѓу овие проекти вклучуваат Космос, Binance Smart Chain, OKX и Апликација.
BNB Chain информираше за наодите
Втор јавен совет, означен како VSA-2022-101, исто така е издаден од Verichains From Nil to Spoof – Critical IAVL Spoofing Attack преку повеќекратни ранливости.
Ова беше направено како дел од нејзината иницијатива за Откривање на одговорна ранливост. Cosmos Hub и сите други блокчејнови што се изградени на Tendermint се напојуваат со консензус мотор наречен Tendermint Core.
Според Политиката за откривање на одговорни ранливости на Verichains, компанијата чекала 120 дена пред да ја објави ранливоста јавно. Поради сериозноста на пропустот, можно е дополнителни мостови да бидат хакирани, што ќе резултира со дополнителни изгубени плаќања, кои може да изнесуваат стотици милиони, или можеби милијарди долари.
Како резултат на тоа, Verichains препорача сите ранливи Web3 проекти кои се потпираат на IAVL-доказната верификација на Tendermint да спроведуваат итни безбедносни надградби.
Откако е откриен, тимот на Verichains навремено ѝ ги открива на јавноста ранливостите и безбедносните дупки што ги нашол преку страницата на компанијата.
Извор: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/