Кампанія Verichains раскрывае важныя ўразлівасці бяспекі блокчейна

Verichains, вядучая фірма па бяспецы блокчейнов, выявіла значныя blockchain уразлівасці сістэмы бяспекі.

У тэрміновай публічнай кансультацыі для праектаў у экасістэме каманда Verichains заявіла, што ўразлівасці звязаны з праверкай доказаў IAVL і атакамі спуфінгу ў Tendermint Core і Космас. У прыватнасці, рызыкі бяспекі звязаны з крытычнай уразлівасцю Empty Merkle Tree і атакай IAVL Spoofing.

Памылкі, звязаныя з праверкай доказаў IAVL у Tendermint

Публічнае абнаўленне з'яўляецца часткай Палітыкі адказнага раскрыцця ўразлівасцяў кампаніі і выходзіць пасля неабходнага 120-дзённага перыяду.

Па дадзеных Verichain, выяўленыя ўразлівасці з'яўляюцца «крытычны характар», а адсутнасць дзеянняў можа прывесці да таго, што хакеры выкарыстаюць памылкі для нанясення дадатковай шкоды. Усе праекты Web3, якія ўсё яшчэ выконваюць праверку доказаў IAVL на Tendermint, павінны хутка рухацца, каб абараніць актывы і знізіць патэнцыйныя рызыкі эксплуатацыі.

Згодна з платформай, рызыкі былі выяўлены ў кастрычніку 2022 года, калі каманда шукала ўразлівасці пасля ўзлому моста BNB Chain. Вердыкт спецыялістаў па бяспецы заключаўся ў тым, што крытычная атака IAVL Spoofing Attack прадугледжвае мноства ўразлівасцей як у BNB Chain, так і ў Tendermint. Экасістэма магла быць падвергнутая «значнай страце сродкаў», адзначылі эксперты.

У той час як у кастрычніку мінулага года ў ланцугу BNB Chain быў зроблены патч, гэтага не адбылося з праграмай суправаджэння Tendermint/Cosmos. Патча для бібліятэкі Tendermint Core не адбылося, бо Cosmos SDK і IBC перайшлі з праверкі доказаў IAVL Merkle на ICS-23.

У прастору блокчэйна зафіксавана шмат узломаў на мастах, з выкрадзенымі лічбавымі актывамі на мільёны долараў. Адпаведна, спецыялісты Verichain адзначаюць, што праекты не павінны недаацэньваць маштаб любых патэнцыйных парушэнняў, улічваючы эксплойт, які прывёў да нападу на Cross-Chain Bridge BNB Chain на 2 мільёны незаконна выдадзеных BNB на суму больш за 566 мільёнаў долараў.