Depois de encontrar várias vulnerabilidades críticas, a Verichains, empresa líder em segurança de blockchain, recomendou empresas que empregam a verificação de prova IAVL da Tendermint para proteger seus ativos e reduzir os riscos de exploração.
Uma vulnerabilidade significativa do Empty Merkle Tree na prova IAVL no Tendermint Core, um conhecido mecanismo de consenso BFT, foi divulgada pela Verichains como parte de seu programa de divulgação responsável de vulnerabilidades em um comunicado público intitulado VSA-2022-100. O Cosmos Hub e outros blockchains baseados em Tendermint são alimentados pelo mecanismo de consenso Tendermint Core.
Um segundo comunicado público da Verichains é publicado como VSA-2022-101. Crucial IAVL Spoofing Ataque através de várias vulnerabilidades: de zero a falsificação.
Após o ataque à ponte BNB Chain, a Verichains descobriu essa descoberta enquanto trabalhava em outubro do ano passado. Especialistas em segurança afirmam que uma quantidade significativa de fundos pode ter sido perdida como consequência do grave IAVL Spoofing Attack, que foi descoberto por meio de várias falhas descobertas no BNB Chain e no Tendermint.
Devido a uma relação de trabalho estabelecida, a BNB Chain foi informada desses resultados em outubro e corrigiu prontamente o problema.
O mantenedor do Tendermint/Cosmos recebeu uma revelação confidencial ao mesmo tempo e reconheceu as falhas. No entanto, como a implementação do IBC e Cosmos-SDK já havia mudado da verificação de prova IAVL Merkle para ICS-23, uma correção não foi disponibilizada para a biblioteca Tendermint. Vários projetos estão agora em perigo, incluindo Cosmos, Binance Smart Chain, OKX e Kava.
Após 120 dias, a Verichains notificou o público de acordo com sua Política de Divulgação de Vulnerabilidade Responsável. Devido à natureza crucial do bug, mais hackers de pontes e consequentes perdas de fundos podem, em certas situações, custar milhões ou até bilhões de dólares.
Os projetos Web3 que ainda estão usando a verificação de prova IAVL do Tendermint foram avisados pela Verichains para aumentar sua segurança.
Regularmente, a equipe da Verichains publica falhas de segurança e vulnerabilidades encontradas por meio de investigação e testes no site da organização.
Fonte: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/