Selepas menemui pelbagai kelemahan kritikal, syarikat keselamatan blockchain terkemuka Verichains mengesyorkan syarikat menggunakan pengesahan bukti IAVL Tendermint untuk melindungi aset mereka dan mengurangkan risiko eksploitasi.
Kerentanan Empty Merkle Tree yang ketara dalam bukti IAVL pada Tendermint Core, enjin konsensus BFT yang terkenal, telah didedahkan oleh Verichains sebagai sebahagian daripada program Pendedahan Kerentanan Bertanggungjawabnya dalam nasihat awam bertajuk VSA-2022-100. Hab Cosmos dan rantaian blok berasaskan Tendermint lain dikuasakan oleh enjin konsensus Teras Tendermint.
Nasihat awam kedua daripada Verichains diterbitkan sebagai VSA-2022-101. Serangan Penipuan IAVL yang Penting melalui Beberapa Kerentanan: Dari Tiada kepada Spoof.
Selepas serangan jambatan Rantaian BNB, Verichains menemui penemuan ini semasa bekerja pada Oktober tahun lepas. Pakar keselamatan mendakwa bahawa sejumlah besar dana mungkin telah hilang akibat daripada Serangan Spoofing IAVL yang serius, yang ditemui melalui beberapa kelemahan yang ditemui dalam Rantaian BNB dan Tendermint.
Disebabkan hubungan kerja yang terjalin, BNB Chain telah dimaklumkan tentang keputusan ini pada bulan Oktober dan segera menyelesaikan masalah itu.
Penyelenggara Tendermint/Cosmos menerima pendedahan sulit pada masa yang sama, dan mereka mengiktiraf kelemahan tersebut. Namun begitu, memandangkan pelaksanaan IBC dan Cosmos-SDK telah pun bertukar daripada pengesahan bukti IAVL Merkle kepada ICS-23, pembetulan tidak disediakan untuk perpustakaan Tendermint. Beberapa projek kini dalam bahaya, termasuk Cosmos, Binance Smart Chain, OKX, dan Kava.
Selepas 120 hari, Verichains telah memberitahu orang ramai selaras dengan Dasar Pendedahan Kerentanan Bertanggungjawabnya. Disebabkan sifat penting pepijat, lebih banyak penggodaman jambatan dan kerugian dana yang seterusnya mungkin, dalam situasi tertentu, menelan belanja berjuta-juta malah berbilion-bilion dolar.
Projek Web3 yang masih menggunakan pengesahan bukti IAVL Tendermint telah diberi amaran oleh Verichains untuk meningkatkan keselamatan mereka.
Secara tetap, pasukan Verichains menerbitkan kelemahan dan kelemahan keselamatan yang ditemui melalui penyiasatan dan ujian di tapak web organisasi.
Sumber: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/