Po kelių kritinių spragų atradimo, pramonės lyderė blockchain saugos įmonė „Verichains“ rekomendavo projektus, kuriuose naudojamas „Tendermint“ IAVL patikrinimas, siekiant apsaugoti savo turtą ir sumažinti tikimybę, kad bus išnaudotas.
Verichains pateikė viešą patarimą, VSA-2022-100, apie reikšmingą „Empty Merkle Tree“ pažeidžiamumą IAVL įrodyme „Tendermint Core“, garsiame BFT konsensuso variklyje, remiantis informacija, kuri buvo pasidalinta su „Finbold“ kovo 8 d.
Praėjusių metų spalį Verichains atrado šį radinį, kai dirbo po BNB grandinės tilto pažeidimo. Rimtą IAVL klaidinimo ataką aptiko saugumo specialistai, kurie ieškojo trūkumų BNB grandinė ir Tendermint. Jie atskleidė daug trūkumų, dėl kurių jie padarė išvadą, kad dėl išpuolio galėjo būti prarasta daug lėšų. Dėl jau egzistuojančios darbinės partnerystės „BNB Chain“ buvo informuota apie šiuos rezultatus spalio mėn. ir nedelsiant įdiegė pataisą.
Iš karto Tendermint/Cosmos prižiūrėtojas buvo privačiai informuotas apie trūkumus ir jie buvo pripažinti. Tačiau Tendermint biblioteka nepataisyta, nes IBC ir Cosmos-SDK diegimas jau buvo perjungtas į ICS-23 iš IAVL Merkle patikrinimo. Šiuo metu keliems projektams gresia pavojus. Tarp šių projektų yra Kosmosas, Binance Smart Chain, OKX ir Kava.
BNB grandinė informavo apie išvadas
Antrasis viešas patarimas, paskirtas kaip VSA-2022-101, taip pat išleido Verichains From Nil to Spoof – kritinė IAVL apgaulės ataka per kelis pažeidžiamumus.
Tai buvo padaryta įgyvendinant atsakingo pažeidžiamumo atskleidimo iniciatyvą. „Cosmos Hub“ ir visos kitos „Tendermint“ sukurtos blokų grandinės yra maitinamos konsensuso varikliu, vadinamu „Tendermint Core“.
Remiantis „Verichains“ atsakingo pažeidžiamumo atskleidimo politika, bendrovė laukė 120 dienų prieš paviešindama pažeidžiamumą. Dėl trūkumo rimtumo gali būti, kad gali būti nulaužti kiti tiltai, dėl kurių bus prarasti papildomi mokėjimai, kurie gali siekti šimtus milijonų, o gal milijardus dolerių.
Todėl „Verichains“ rekomendavo visiems pažeidžiamiems „Web3“ projektams, kurie remiasi „Tendermint“ IAVL patikrinimu, nedelsiant įdiegti saugos atnaujinimus.
Aptikta „Verichains“ komanda bendrovės svetainėje nedelsdama atskleidžia visuomenei rastus pažeidžiamumus ir saugumo spragas.
Šaltinis: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/