Pas zbulimit të dobësive të shumta kritike, industria lider Blockchain Kompania e sigurisë Verichains ka rekomanduar projekte duke përdorur verifikimin e provës së IAVL të Tendermint për të marrë masa për të mbrojtur asetet e tyre dhe për të zvogëluar gjasat për t'u shfrytëzuar.
Verichains ka dhënë një këshillë publike, VSA-2022-100, në lidhje me një cenueshmëri të rëndësishme Empty Merkle Tree në provën IAVL në Tendermint Core, një motor i shquar i konsensusit BFT, sipas informacionit të ndarë me Finbold më 8 mars.
Në tetor të vitit të kaluar, Verichains e zbuloi këtë gjetje kur ata po punonin si pasojë e thyerjes së urës së zinxhirit BNB. Sulmi serioz i mashtrimit të IAVL u zbulua nga profesionistë të sigurisë të cilët po kërkonin dobësi në Zinxhiri BNB dhe Tendermint. Ata zbuluan shumë të meta, të cilat i çuan në përfundimin se sulmi mund të kishte çuar në një humbje të madhe fondesh. Për shkak të një partneriteti paraekzistues pune, BNB Chain u informua për këto rezultate në tetor dhe vendosi menjëherë një rregullim.
Menjëherë, mirëmbajtësi i Tendermint/Cosmos u informua privatisht për të metat dhe ato u njohën. Biblioteka e Tendermint, megjithatë, nuk u korrigjua pasi zbatimi i IBC dhe Cosmos-SDK tashmë kishte kaluar në ICS-23 nga verifikimi i provës së IAVL Merkle. Për momentin, disa projekte janë në rrezik. Ndër këto projekte përfshijnë Gjithësi, Binance Smart Chain, OKX, dhe Kava.
Zinxhiri BNB u informua për gjetjet
Një këshillë e dytë publike, e caktuar si VSA-2022-101, është lëshuar gjithashtu nga Verichains From Nil to Spoof – Kritik IAVL Spoofing Attack përmes dobësive të shumëfishta.
Kjo u bë si pjesë e iniciativës së saj për Zbulimin e Përgjegjshëm të Vulnerabilitetit. Cosmos Hub dhe të gjitha blloqet e tjera që janë ndërtuar në Tendermint mundësohen nga një motor konsensusi i quajtur Tendermint Core.
Sipas politikës së zbulimit të cenueshmërisë përgjegjëse të Verichains, kompania priti 120 ditë përpara se ta bënte publike dobësinë. Për shkak të ashpërsisë së defektit, është e mundur që ura të tjera mund të hakohen, duke rezultuar në pagesa shtesë të humbura, të cilat mund të arrijnë në qindra miliona, ose ndoshta miliarda dollarë.
Si rezultat, Verichains ka rekomanduar që çdo projekt vulnerabël Web3 që mbështetet në verifikimin IAVL-provë të Tendermint të zbatojë përmirësime të menjëhershme të sigurisë.
Pasi të zbulohet, ekipi i Verichains zbulon menjëherë dobësitë dhe vrimat e sigurisë që ka gjetur për publikun përmes faqes së kompanisë.
Burimi: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/