Көптеген маңызды осалдықтарды тапқаннан кейін жетекші блокчейндік қауіпсіздік компаниясы Verichains Tendermint компаниясының IAVL дәлелді тексеруін қолданатын компанияларға өз активтерін қорғау және пайдалану тәуекелдерін азайтуды ұсынды.
Белгілі BFT консенсус қозғалтқышы Tendermint Core-дағы IAVL дәлеліндегі маңызды бос Merkle ағашының осалдығын Verichains компаниясы жауапты осалдықты ашу бағдарламасының бір бөлігі ретінде жариялады. VSA-2022-100. Cosmos Hub және басқа Tendermint негізіндегі блокчейндер Tendermint Core консенсус қозғалтқышымен жұмыс істейді.
Verichains екінші қоғамдық кеңесі ретінде жарияланды VSA-2022-101. Бірнеше осалдықтар арқылы маңызды IAVL спуфинг шабуылы: нөлден жалғанға дейін.
BNB Chain көпірінің шабуылынан кейін Verichains бұл тұжырымды өткен жылдың қазан айында жұмыс істеген кезде тапты. Қауіпсіздік сарапшылары BNB Chain және Tendermint-те табылған бірнеше кемшіліктер арқылы анықталған елеулі IAVL Spoofing Attack нәтижесінде айтарлықтай қаражат жоғалуы мүмкін деп мәлімдейді.
Орнатылған жұмыс қарым-қатынасына байланысты BNB Chain осы нәтижелер туралы қазан айында хабардар болды және мәселені тез арада шешті.
Tendermint/Cosmos қызметшісі бір уақытта құпия ақпаратты алды және олар кемшіліктерді мойындады. Дегенмен, IBC және Cosmos-SDK енгізуі IAVL Merkle дәлелді тексеруден ICS-23 нұсқасына ауысқандықтан, Tendermint кітапханасы үшін түзету қолжетімді болмады. Қазір Cosmos, Binance Smart Chain, OKX және Kava сияқты бірнеше жобаларға қауіп төніп тұр.
120 күннен кейін Verichains компаниясы Осалдықты ашу жөніндегі жауапты саясатына сәйкес жұртшылықты хабардар етті. Қатенің маңызды сипатына байланысты, көпірді бұзу және одан кейінгі қаражат жоғалту белгілі бір жағдайларда миллиондаған немесе тіпті миллиардтаған долларға түсуі мүмкін.
Tendermint компаниясының IAVL растауын тексеруді пайдаланып жатқан Web3 жобаларына Verichains олардың қауіпсіздігін арттыру үшін ескертті.
Verichains командасы жүйелі түрде ұйымның веб-сайтында тергеу және тестілеу арқылы табылған қауіпсіздік кемшіліктері мен осалдықтарын жариялайды.
Дереккөз: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/