Pas gjetjes së dobësive të shumta kritike, kompania udhëheqëse e sigurisë së bllokut, Verichains, rekomandoi kompanitë që të përdorin verifikimin provues të IAVL të Tendermint për të mbrojtur asetet e tyre dhe për të zvogëluar rreziqet e shfrytëzimit.
Një cenueshmëri e rëndësishme Empty Merkle Tree në provën IAVL në Tendermint Core, një motor i mirënjohur konsensusi BFT, është zbuluar nga Verichains si pjesë e programit të tij Përgjegjës për Zbulimin e Vulnerabilitetit në një këshillim publik të titulluar VSA-2022-100. Cosmos Hub dhe blloqe të tjera të bazuara në Tendermint mundësohen nga motori i konsensusit Tendermint Core.
Një këshillë e dytë publike nga Verichains është publikuar si VSA-2022-101. Sulmi vendimtar i mashtrimit të IAVL përmes disa dobësive: Nga zero në mashtrim.
Pas sulmit të urës së zinxhirit BNB, Verichains zbuloi këtë gjetje ndërsa punonte në tetor të vitit të kaluar. Ekspertët e sigurisë pohojnë se një sasi e konsiderueshme fondesh mund të jetë humbur si pasojë e sulmit serioz të mashtrimit të IAVL, i cili u zbulua përmes disa defekteve të zbuluara në BNB Chain dhe Tendermint.
Për shkak të një marrëdhënie pune të vendosur, BNB Chain u informua për këto rezultate në tetor dhe e zgjidhi menjëherë problemin.
Mirëmbajtja e Tendermint/Cosmos mori një zbulim konfidencial në të njëjtën kohë dhe ata i njohën të metat. Megjithatë, meqë zbatimi i IBC dhe Cosmos-SDK kishte kaluar tashmë nga verifikimi provues i IAVL Merkle në ICS-23, një rregullim nuk u vu në dispozicion për bibliotekën Tendermint. Disa projekte janë tani në rrezik, duke përfshirë Cosmos, Binance Smart Chain, OKX dhe Kava.
Pas 120 ditësh, Verichains ka njoftuar publikun në përputhje me politikën e saj të zbulimit të cenueshmërisë përgjegjëse. Për shkak të natyrës vendimtare të defektit, më shumë hakerime të urave dhe humbje fondesh që pasojnë mund të kushtojnë, në situata të caktuara, miliona apo edhe miliarda dollarë.
Projektet Web3 që ende përdorin verifikimin e provës IAVL të Tendermint janë paralajmëruar nga Verichains për të rritur sigurinë e tyre.
Në mënyrë të rregullt, ekipi i Verichains publikon të metat e sigurisë dhe dobësitë e gjetura përmes hetimit dhe testimit në faqen e internetit të organizatës.
Burimi: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/