Çok sayıda kritik güvenlik açığının keşfedilmesinin ardından sektör lideri blockchain güvenlik şirketi Verichains, varlıklarını korumak ve istismar edilme olasılığını azaltmak için önlemler almak üzere Tendermint'in IAVL kanıt doğrulamasını kullanan projeler önerdi.
Verichains halka açık bir danışmanlık hizmeti sundu. VSA-2022-1008 Mart'ta Finbold ile paylaşılan bilgiye göre, önde gelen bir BFT konsensüs motoru olan Tendermint Core'daki IAVL kanıtındaki önemli bir Boş Merkle Ağacı güvenlik açığı hakkında.
Geçen yılın ekim ayında Verichains, BNB Chain köprüsünün ihlali sonrasında çalışırken bu bulguyu keşfetti. Ciddi IAVL Kimlik Sahtekarlığı Saldırısı, IAVL'deki zayıflıkları arayan güvenlik uzmanları tarafından keşfedildi. BNB Zinciri ve Tendermint. Pek çok kusuru ortaya çıkardılar ve bu da onları, saldırının büyük bir fon kaybına yol açmış olabileceği sonucuna götürdü. Önceden var olan bir çalışma ortaklığı nedeniyle BNB Chain, Ekim ayında bu sonuçlardan haberdar edildi ve hemen bir düzeltme uyguladı.
Tendermint/Cosmos yöneticisine birdenbire kusurlar konusunda özel olarak bilgi verildi ve kusurlar fark edildi. Ancak Tendermint kütüphanesi, IBC ve Cosmos-SDK uygulamasının IAVL Merkle kanıt doğrulamasından zaten ICS-23'e geçmesi nedeniyle bir düzeltme alamadı. Şu anda birçok proje risk altında. Bu projeler arasında şunlar yer alıyor: kozmos, Binance Akıllı Zincir, OKX ve Kava.
BNB Chain bulgular hakkında bilgilendirildi
İkinci bir kamu danışma tavsiyesi, VSA-2022-101, aynı zamanda Verichains From Nil to Parodi - Çoklu Güvenlik Açıkları Yoluyla Kritik IAVL Sahtekarlık Saldırısı tarafından da yayınlandı.
Bu, Sorumlu Güvenlik Açığı Açıklaması girişiminin bir parçası olarak yapıldı. Cosmos Hub ve Tendermint üzerine inşa edilen diğer tüm blok zincirleri, Tendermint Core adı verilen bir konsensüs motoru tarafından desteklenmektedir.
Verichains'in Sorumlu Güvenlik Açığı Açıklama Politikasına göre şirket, güvenlik açığını kamuya duyurmak için 120 gün bekledi. Kusurun ciddiyeti nedeniyle başka köprülerin de hacklenmesi mümkündür, bu da yüz milyonlarca, belki de milyarlarca dolarlık ek ödeme kaybına neden olabilir.
Sonuç olarak Verichains, Tendermint'in IAVL-geçirmezlik doğrulamasına dayanan güvenlik açığı bulunan Web3 projelerinin anında güvenlik yükseltmeleri uygulamasını önerdi.
Verichains ekibi, keşfedildikten sonra bulduğu güvenlik açıklarını ve güvenlik açıklarını şirketin sitesi aracılığıyla derhal kamuya açıklar.
Kaynak: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-secious-security-flaws/