Nach der Entdeckung mehrerer kritischer Schwachstellen hat das branchenführende Blockchain Das Sicherheitsunternehmen Verichains hat Projekte empfohlen, die die IAVL-Nachweisprüfung von Tendermint verwenden, um Maßnahmen zum Schutz ihrer Vermögenswerte zu ergreifen und die Wahrscheinlichkeit einer Ausnutzung zu verringern.
Verichains hat eine öffentliche Beratung bereitgestellt, VSA-2022-100, über eine signifikante Sicherheitslücke im Empty Merkle Tree im IAVL-Proof auf Tendermint Core, einer bekannten BFT-Konsens-Engine, gemäß den Informationen, die Finbold am 8.
Im Oktober letzten Jahres entdeckte Verichains diesen Befund, als sie nach dem Bruch der BNB-Kettenbrücke arbeiteten. Der schwerwiegende IAVL-Spoofing-Angriff wurde von Sicherheitsexperten entdeckt, die nach Schwachstellen in BNB-Kette und Zartminze. Sie deckten viele Fehler auf, was sie zu dem Schluss führte, dass der Angriff möglicherweise zu einem großen Geldverlust geführt hat. Aufgrund einer bereits bestehenden Zusammenarbeit wurde BNB Chain im Oktober über diese Ergebnisse informiert und hat sofort eine Lösung bereitgestellt.
Auf einmal wurde der Tendermint/Cosmos-Betreuer privat über die Fehler informiert und sie wurden erkannt. Die Tendermint-Bibliothek wurde jedoch nicht behoben, da die IBC- und Cosmos-SDK-Implementierung bereits von der IAVL Merkle Proof-Verifizierung auf ICS-23 umgestellt wurde. Derzeit sind mehrere Projekte gefährdet. Zu diesen Projekten gehören Kosmos, Binance Smart Chain, OKX und Kava.
BNB-Kette über Erkenntnisse informiert
Eine zweite öffentliche Beratung, bezeichnet als VSA-2022-101, wurde auch von Verichains From Nil to Spoof – Critical IAVL Spoofing Attack via Multiple Vulnerabilities herausgegeben.
Dies geschah im Rahmen der Initiative „Responsible Vulnerability Disclosure“. Der Cosmos Hub und alle anderen Blockchains, die auf Tendermint aufbauen, werden von einer Konsens-Engine namens Tendermint Core angetrieben.
Gemäß der Responsible Vulnerability Disclosure Policy von Verichain wartete das Unternehmen 120 Tage, bevor es die Schwachstelle öffentlich machte. Aufgrund der Schwere des Fehlers ist es möglich, dass weitere Brücken gehackt werden, was zu zusätzlichen Zahlungsausfällen führt, die sich auf Hunderte Millionen oder vielleicht Milliarden Dollar belaufen können.
Infolgedessen hat Verichains empfohlen, dass alle anfälligen Web3-Projekte, die sich auf die IAVL-sichere Verifizierung von Tendermint verlassen, sofortige Sicherheits-Upgrades implementieren.
Nach der Entdeckung gibt das Verichains-Team die gefundenen Schwachstellen und Sicherheitslücken unverzüglich über die Website des Unternehmens an die Öffentlichkeit weiter.
Quelle: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/