Pärast mitme kriitilise haavatavuse avastamist on tööstusharu juhtiv blockchain turvafirma Verichains on soovitanud Tenderminti IAVL-i tõendit kasutavatel projektidel võtta meetmeid oma varade kaitsmiseks ja ärakasutamise tõenäosuse vähendamiseks.
Verichains on andnud avaliku nõuande, VSA-2022-1008. märtsil Finboldiga jagatud teabe põhjal, mis puudutab märkimisväärset Empty Merkle Tree haavatavust IAVL-i tõendis Tendermint Core'is, silmapaistvas BFT konsensusmootoris.
Eelmise aasta oktoobris avastas Verichains selle leiu, kui nad töötasid BNB keti silla rikkumise järel. Tõsise IAVL-i võltsimisrünnaku avastasid turvaspetsialistid, kes otsisid selles nõrkusi BNB kett ja Tendermint. Nad avastasid palju vigu, mis viisid nad järeldusele, et rünnak võis kaasa tuua suure rahakaotuse. Eelneva koostöö tõttu teavitati BNB ketti nendest tulemustest oktoobris ja ta võttis kohe kasutusele paranduse.
Korraga teavitati puudustest eraviisiliselt Tendermint/Cosmose hooldajat ja need tunnistati. Tenderminti teek ei saanud aga parandust, kuna IBC ja Cosmos-SDK juurutus oli IAVL Merkle'i tõendikontrollist juba ICS-23-le üle läinud. Hetkel on ohus mitmed projektid. Nende projektide hulka kuuluvad Cosmos, Binance Smart Chain, OKX ja Kava.
BNB ketti teavitati leidudest
Teine avalik nõuanne, mis on tähistatud kui VSA-2022-101, on välja andnud ka Verichains From Nil to Spoof – Critical IAVL Spoofing Attack via Multiple Vulnerabilities.
Seda tehti osana vastutustundliku haavatavuse avalikustamise algatusest. Cosmos Hubi ja kõiki teisi Tendermintile ehitatud plokiahelaid toidab konsensusmootor nimega Tendermint Core.
Verichainsi vastutustundliku haavatavuse avalikustamise poliitika kohaselt ootas ettevõte 120 päeva, enne kui haavatavus avalikustas. Vea tõsiduse tõttu on võimalik, et häkkida võidakse uusi sildu, mille tulemuseks on täiendavad saamata jäänud maksed, mis võivad ulatuda sadadesse miljonitesse või ehk miljarditesse dollaritesse.
Selle tulemusena on Verichains soovitanud, et kõik haavatavad Web3 projektid, mis põhinevad Tenderminti IAVL-kindlal kontrollil, viiksid koheselt turbevärskendusi.
Pärast avastamist avalikustab Verichainsi meeskond leitud haavatavused ja turvaaugud ettevõtte saidi kaudu viivitamatult avalikkusele.
Allikas: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/