Dopo la scoperta di molteplici vulnerabilità critiche, leader del settore blockchain la società di sicurezza Verichains ha raccomandato progetti che utilizzano la verifica della prova IAVL di Tendermint per adottare misure per proteggere i propri beni e ridurre la probabilità di essere sfruttati.
Verichains ha fornito un avviso pubblico, VSA-2022-100, su una significativa vulnerabilità di Empty Merkle Tree nella prova IAVL su Tendermint Core, un importante motore di consenso BFT, secondo le informazioni condivise con Finbold l'8 marzo.
Nell'ottobre dello scorso anno, Verichains ha scoperto questa scoperta mentre lavorava all'indomani della violazione del ponte delle catene di BNB. Il grave attacco di spoofing IAVL è stato scoperto da professionisti della sicurezza che cercavano punti deboli in Catena BNB e Menta tenera. Hanno scoperto molti difetti, che li hanno portati alla conclusione che l'attacco potrebbe aver portato a una grave perdita di fondi. A causa di una partnership di lavoro preesistente, BNB Chain è stata informata di questi risultati a ottobre e ha immediatamente implementato una correzione.
All'improvviso, il manutentore di Tendermint/Cosmos è stato informato privatamente dei difetti e sono stati riconosciuti. La libreria Tendermint, tuttavia, non ha ottenuto una correzione poiché l'implementazione IBC e Cosmos-SDK era già passata a ICS-23 dalla verifica della prova IAVL Merkle. Al momento, diversi progetti sono a rischio. Tra questi progetti includono cosmo, Binance Smart Chain, OKX e Kava.
BNB Chain informata dei risultati
Un secondo avviso pubblico, designato come VSA-2022-101, è stato rilasciato anche da Verichains From Nil to Spoof – Critical IAVL Spoofing Attack via Multiple Vulnerabilities.
Ciò è stato fatto nell'ambito della sua iniziativa Responsible Vulnerability Disclosure. Il Cosmos Hub e tutti gli altri blockchain basati su Tendermint sono alimentati da un motore di consenso chiamato Tendermint Core.
Secondo la Responsible Vulnerability Disclosure Policy di Verichains, la società ha aspettato 120 giorni prima di rendere pubblica la vulnerabilità. A causa della gravità del difetto, è possibile che ulteriori bridge possano essere violati, con conseguenti pagamenti persi aggiuntivi, che potrebbero ammontare a centinaia di milioni, o forse miliardi, di dollari.
Di conseguenza, Verichains ha raccomandato che tutti i progetti Web3 vulnerabili che si basano sulla verifica a prova di IAVL di Tendermint implementino aggiornamenti di sicurezza immediati.
Una volta scoperto, il team di Verichains rivela prontamente al pubblico le vulnerabilità e le falle di sicurezza che ha trovato attraverso il sito dell'azienda.
Fonte: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/