بعد العثور على العديد من نقاط الضعف الحرجة ، أوصت شركة Verichains الرائدة لأمن blockchain الشركات التي تستخدم التحقق من IAVL من Tendermint لحماية أصولها وتقليل مخاطر الاستغلال.
تم الكشف عن ثغرة أمنية كبيرة في Merkle Tree في دليل IAVL على Tendermint Core ، وهو محرك إجماع BFT معروف ، بواسطة Verichains كجزء من برنامج الإفصاح عن الثغرات المسؤولة في تقرير استشاري عام بعنوان VSA-2022-100. يتم تشغيل Cosmos Hub وغيرها من سلاسل الكتل المستندة إلى Tendermint بواسطة محرك إجماع Tendermint Core.
تم نشر استشارة عامة ثانية من Verichains باسم VSA-2022-101. هجوم انتحال حاسم لـ IAVL من خلال العديد من نقاط الضعف: من لا شيء إلى محاكاة ساخرة.
في أعقاب هجوم جسر BNB Chain ، اكتشف Verichains هذه النتيجة أثناء عمله في أكتوبر من العام الماضي. يدعي خبراء الأمن أن مبلغًا كبيرًا من الأموال ربما يكون قد فقد نتيجة هجوم IAVL Spoofing الخطير ، والذي تم اكتشافه من خلال العديد من العيوب التي تم اكتشافها في BNB Chain و Tendermint.
نظرًا لعلاقة العمل الراسخة ، تم إبلاغ BNB Chain بهذه النتائج في أكتوبر وتم إصلاح المشكلة على الفور.
تلقى مشرف Tendermint / Cosmos إفصاحًا سريًا في نفس الوقت ، وقد أدركوا العيوب. ومع ذلك ، نظرًا لأن تطبيق IBC و Cosmos-SDK قد تحول بالفعل من التحقق من إثبات IAVL Merkle إلى ICS-23 ، لم يتم توفير الإصلاح لمكتبة Tendermint. العديد من المشاريع في خطر الآن ، بما في ذلك Cosmos و Binance Smart Chain و OKX و Kava.
بعد 120 يومًا ، أخطرت Verichains الجمهور وفقًا لسياسة الإفصاح عن الثغرات المسؤولة. نظرًا لطبيعة الخطأ الحاسمة ، قد تكلف المزيد من عمليات اختراق الجسور وما يترتب عليها من خسائر في الأموال ، في مواقف معينة ، ملايين أو حتى مليارات الدولارات.
تم تحذير مشاريع Web3 التي لا تزال تستخدم التحقق من إثبات IAVL الخاص بـ Tendermint بواسطة Verichains لتعزيز أمنها.
بشكل منتظم ، ينشر فريق Verichains الثغرات الأمنية ونقاط الضعف التي تم العثور عليها من خلال التحقيق والاختبار على موقع المؤسسة على الويب.
المصدر: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/