Selepas penemuan pelbagai kelemahan kritikal, peneraju industri blockchain syarikat keselamatan Verichains telah mengesyorkan projek menggunakan pengesahan bukti IAVL Tendermint untuk mengambil langkah melindungi aset mereka dan mengurangkan kemungkinan dieksploitasi.
Verichains telah memberikan nasihat awam, VSA-2022-100, tentang kelemahan Empty Merkle Tree yang ketara dalam bukti IAVL pada Tendermint Core, enjin konsensus BFT yang terkemuka, mengikut maklumat yang dikongsi dengan Finbold pada 8 Mac.
Pada Oktober tahun lalu, Verichains menemui penemuan ini apabila mereka bekerja selepas pelanggaran jambatan Rantaian BNB. Serangan Spoofing IAVL yang serius ditemui oleh profesional keselamatan yang mencari kelemahan Rantaian BNB dan Tendermint. Mereka menemui banyak kelemahan, yang menyebabkan mereka membuat kesimpulan bahawa serangan itu mungkin telah menyebabkan kerugian besar dana. Disebabkan oleh perkongsian kerja yang sedia ada, BNB Chain telah dimaklumkan tentang keputusan ini pada bulan Oktober dan segera melaksanakan pembetulan.
Sekali gus, penyelenggara Tendermint/Cosmos telah dimaklumkan secara peribadi tentang kelemahan tersebut, dan mereka telah diiktiraf. Perpustakaan tendermint, walau bagaimanapun, tidak mendapat pembetulan kerana pelaksanaan IBC dan Cosmos-SDK telah pun bertukar kepada ICS-23 daripada pengesahan bukti IAVL Merkle. Pada masa ini, beberapa projek berisiko. Antara projek ini termasuklah Cosmos, Rantaian Pintar Binance, OKX, dan Kava.
Rantaian BNB memaklumkan penemuan
Nasihat awam kedua, yang ditetapkan sebagai VSA-2022-101, juga telah dikeluarkan oleh Verichains From Nil to Spoof – Critical IAVL Spoofing Attack melalui Multiple Vulnerabilities.
Ini dilakukan sebagai sebahagian daripada inisiatif Pendedahan Kerentanan Bertanggungjawabnya. Hab Cosmos dan semua rantaian blok lain yang dibina di atas Tendermint dikuasakan oleh enjin konsensus yang dipanggil Tendermint Core.
Menurut Dasar Pendedahan Kerentanan Bertanggungjawab Verichains, syarikat itu menunggu 120 hari sebelum mendedahkan kelemahan tersebut kepada umum. Disebabkan oleh keterukan kecacatan, ada kemungkinan bahawa jambatan selanjutnya mungkin digodam, mengakibatkan pembayaran hilang tambahan, yang mungkin berjumlah ratusan juta, atau mungkin berbilion-bilion, dolar.
Akibatnya, Verichains telah mengesyorkan bahawa mana-mana projek Web3 yang terdedah yang bergantung pada pengesahan kalis IAVL Tendermint melaksanakan peningkatan keselamatan segera.
Setelah ditemui, pasukan Verichains segera mendedahkan kelemahan dan lubang keselamatan yang ditemuinya kepada orang ramai melalui tapak syarikat.
Sumber: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/