Nachdem das führende Blockchain-Sicherheitsunternehmen Verichains mehrere kritische Schwachstellen gefunden hatte, empfahl es Unternehmen, die IAVL-Proof-Verifizierung von Tendermint einzusetzen, um ihre Vermögenswerte zu schützen und Ausnutzungsrisiken zu reduzieren.
Verichains hat im Rahmen seines Responsible-Vulnerability-Disclosure-Programms in einem Public Advisory mit dem Titel eine bedeutende Empty-Merkle-Tree-Schwachstelle im IAVL-Proof auf Tendermint Core, einer bekannten BFT-Konsens-Engine, offengelegt VSA-2022-100. Der Cosmos Hub und andere Tendermint-basierte Blockchains werden von der Tendermint Core Consensus Engine betrieben.
Ein zweiter öffentlicher Ratgeber von Verichains wird veröffentlicht als VSA-2022-101. Entscheidender IAVL-Spoofing-Angriff durch mehrere Schwachstellen: Von Null zu Spoof.
Nach dem BNB-Chain-Bridge-Angriff entdeckte Verichains diesen Befund, als er im Oktober letzten Jahres arbeitete. Sicherheitsexperten behaupten, dass infolge des schwerwiegenden IAVL-Spoofing-Angriffs, der durch mehrere in BNB Chain und Tendermint entdeckte Fehler entdeckt wurde, möglicherweise ein erheblicher Geldbetrag verloren gegangen ist.
Aufgrund einer etablierten Arbeitsbeziehung wurde BNB Chain im Oktober über diese Ergebnisse informiert und das Problem umgehend behoben.
Der Tendermint/Cosmos-Betreuer erhielt gleichzeitig eine vertrauliche Mitteilung und erkannte die Mängel. Da die IBC- und Cosmos-SDK-Implementierung jedoch bereits von der IAVL-Merkle-Beweisprüfung auf ICS-23 umgestellt hatten, wurde kein Fix für die Tendermint-Bibliothek bereitgestellt. Mehrere Projekte sind jetzt in Gefahr, darunter Cosmos, Binance Smart Chain, OKX und Kava.
Nach 120 Tagen hat Verichains die Öffentlichkeit gemäß seiner Richtlinie zur verantwortungsbewussten Offenlegung von Schwachstellen informiert. Aufgrund der kritischen Natur des Fehlers können weitere Bridge-Hacking- und daraus resultierende Geldverluste in bestimmten Situationen Millionen oder sogar Milliarden von Dollar kosten.
Web3-Projekte, die immer noch die IAVL-Proof-Verifizierung von Tendermint verwenden, wurden von Verichains gewarnt, ihre Sicherheit zu erhöhen.
Das Team von Verichains veröffentlicht regelmäßig Sicherheitslücken und Schwachstellen, die durch Untersuchungen und Tests auf der Website der Organisation gefunden wurden.
Quelle: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/