Көптеген сыни осалдықтарды анықтағаннан кейін сала жетекші blockchain Verichains қауіпсіздік компаниясы активтерін қорғау және пайдалану ықтималдығын азайту үшін шаралар қабылдау үшін Tendermint компаниясының IAVL дәлелді тексеруін қолданатын жобаларды ұсынды.
Verichains қоғамдық кеңес берді, VSA-2022-100, 8 наурызда Финболдпен бөліскен ақпаратқа сәйкес, танымал BFT консенсус қозғалтқышы Tendermint Core-дағы IAVL дәлеліндегі бос Merkle ағашының маңызды осалдығы туралы.
Өткен жылдың қазан айында Verichains бұл тұжырымды BNB Chain көпірінің бұзылуынан кейін жұмыс істеген кезде тапты. Күрделі IAVL жалғандық шабуылын әлсіз жақтарын іздеген қауіпсіздік мамандары тапты BNB тізбегі және Tendermint. Олар көптеген кемшіліктерді ашты, бұл оларды шабуыл үлкен қаражат жоғалтуға әкеп соқтыруы мүмкін деген қорытындыға әкелді. Бұрыннан бар жұмыс серіктестігінің арқасында BNB Chain бұл нәтижелер туралы қазан айында хабардар болды және дереу түзету енгізді.
Бірден Tendermint/Cosmos жөндеушісі кемшіліктер туралы жеке хабардар болды және олар танылды. Алайда Tendermint кітапханасы түзетуге ие болмады, өйткені IBC және Cosmos-SDK іске асыру IAVL Merkle дәлелді тексеруінен ICS-23-ке ауысқан болатын. Қазіргі уақытта бірнеше жобаға қауіп төніп тұр. Бұл жобалардың қатарында Cosmos, Binance Smart Chain, OKX және Кава.
BNB Chain қорытындылар туралы хабарлады
ретінде тағайындалған екінші қоғамдық кеңес VSA-2022-101, сонымен қатар Verichains From Nil to Spoof – көптеген осалдықтар арқылы Critical IAVL Spoofing Attack шығарған.
Бұл оның «Жауапты осалдықты ашу» бастамасының бөлігі ретінде жасалды. Cosmos Hub және Tendermint негізінде жасалған барлық басқа блокчейндер Tendermint Core деп аталатын консенсус қозғалтқышымен жұмыс істейді.
Verichains компаниясының жауапты осалдықты ашу саясатына сәйкес, компания осалдықты жария етпес бұрын 120 күн күтті. Ақаулықтың ауырлығына байланысты одан әрі көпірлер бұзылып, нәтижесінде қосымша жоғалған төлемдер жүздеген миллион немесе миллиардтаған долларды құрауы мүмкін.
Нәтижесінде, Verichains Tendermint компаниясының IAVL тексеруіне негізделген кез келген осал Web3 жобаларына дереу қауіпсіздік жаңартуларын енгізуді ұсынды.
Табылғаннан кейін Verichains командасы компанияның сайты арқылы қоғамға табылған осалдықтар мен қауіпсіздік саңылауларын тез арада ашады.
Дереккөз: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/