Pärast mitme kriitilise haavatavuse leidmist soovitas juhtiv plokiahela turvaettevõte Verichains ettevõtetel, kes kasutavad Tenderminti IAVL-i tõendit, et kaitsta oma varasid ja vähendada ekspluateerimisriske.
Verichains avalikustas oma vastutustundliku haavatavuse avalikustamise programmi osana Tendermint Core'i, tuntud BFT konsensusmootori Tendermint Core'i IAVL-i tõendis olulise tühja Merkle Tree haavatavuse. VSA-2022-100. Cosmos Hubi ja teisi Tenderminti baasil põhinevaid plokiahelaid toidab Tendermint Core konsensusmootor.
Verichainsi teine avalik nõuanne avaldatakse kui VSA-2022-101. Oluline IAVL-i võltsimisrünnak läbi mitme haavatavuse: nullist pettuseni.
Pärast BNB kettsilla rünnakut avastas Verichains selle leiu eelmise aasta oktoobris töötades. Turvaeksperdid väidavad, et märkimisväärne summa raha võis kaduma minna tõsise IAVL-i võltsimisrünnaku tagajärjel, mis avastati mitmete BNB ketis ja Tendermintis avastatud puuduste kaudu.
Tänu väljakujunenud töösuhtele teavitati BNB ketti nendest tulemustest oktoobris ja probleem lahendati kiiresti.
Tendermint/Cosmose hooldaja sai samal ajal konfidentsiaalse avalikustamise ja nad tunnistasid vead. Sellegipoolest, kuna IBC ja Cosmos-SDK juurutus oli juba IAVL Merkle'i tõendikontrollilt ICS-23-le üle läinud, ei tehtud Tenderminti teegi jaoks parandust. Mitmed projektid on nüüd ohus, sealhulgas Cosmos, Binance Smart Chain, OKX ja Kava.
120 päeva pärast on Verichains teavitanud avalikkust vastavalt oma vastutustundliku haavatavuse avalikustamise poliitikale. Vea üliolulisuse tõttu võib suurem sillahäkkimine ja sellest tulenev rahakahjumine teatud olukordades maksta miljoneid või isegi miljardeid dollareid.
Verichains on hoiatanud Web3 projekte, mis kasutavad endiselt Tenderminti IAVL-i tõendit, nende turvalisuse suurendamiseks.
Verichainsi meeskond avaldab regulaarselt organisatsiooni veebisaidil uurimise ja testimise käigus leitud turvavigu ja haavatavusi.
Allikas: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/