Пасля выяўлення шматлікіх крытычных уразлівасцяў вядучая кампанія па бяспецы блокчейнов Verichains рэкамендавала кампаніям выкарыстоўваць праверку IAVL ад Tendermint для абароны сваіх актываў і зніжэння рызык эксплуатацыі.
Значная ўразлівасць Empty Merkle Tree у доказе IAVL на Tendermint Core, добра вядомай механізме кансенсусу BFT, была раскрыта кампаніяй Verichains у рамках праграмы адказнага раскрыцця ўразлівасцей у публічнай рэкамендацыі пад назвай VSA-2022-100. Cosmos Hub і іншыя блокчейны на аснове Tendermint працуюць на механізме кансенсусу Tendermint Core.
Другая публічная рэкамендацыя ад Verichains апублікаваная як VSA-2022-101. Найважнейшая спуфінгавая атака IAVL праз некалькі ўразлівасцей: ад нуля да спуфінгу.
Пасля атакі на ланцужны мост BNB Chain кампанія Verichains выявіла гэтую знаходку падчас працы ў кастрычніку мінулага года. Эксперты па бяспецы сцвярджаюць, што значная колькасць сродкаў магла быць страчана ў выніку сур'ёзнай атакі IAVL Spoofing Attack, якая была выяўлена праз некалькі недахопаў, выяўленых у BNB Chain і Tendermint.
Дзякуючы наладжаным працоўным адносінам, BNB Chain была праінфармавана аб гэтых выніках у кастрычніку і неадкладна вырашыла праблему.
Суправаджаючы Tendermint/Cosmos адначасова атрымаў канфідэнцыйную інфармацыю, і яны прызналі недахопы. Тым не менш, паколькі рэалізацыя IBC і Cosmos-SDK ужо перайшла з праверкі доказаў IAVL Merkle на ICS-23, выпраўленне для бібліятэкі Tendermint не было даступна. Зараз некалькі праектаў знаходзяцца ў небяспецы, у тым ліку Cosmos, Binance Smart Chain, OKX і Kava.
Праз 120 дзён Verichains апавясціла грамадскасць у адпаведнасці са сваёй Палітыкай адказнага раскрыцця ўразлівасцяў. З-за важнага характару памылкі дадатковыя ўзломы моста і наступныя страты сродкаў могуць у пэўных сітуацыях каштаваць мільёны ці нават мільярды долараў.
Праекты Web3, якія ўсё яшчэ выкарыстоўваюць праверку доказаў IAVL ад Tendermint, атрымалі папярэджанне ад Verichains для павышэння іх бяспекі.
На рэгулярнай аснове каманда Verichains публікуе на вэб-сайце арганізацыі недахопы бяспекі і ўразлівасці, выяўленыя ў выніку расследавання і тэсціравання.
Крыніца: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/