A Verichains, empresa líder em segurança de blockchain, identificou blockchain vulnerabilidades de segurança.
Em um comunicado público urgente para projetos no ecossistema, a equipe da Verichains disse que as vulnerabilidades estão relacionadas à verificação de provas IAVL e ataques de falsificação no Tendermint Core e Cosmos. Especificamente, os riscos de segurança estão relacionados à vulnerabilidade crítica da Árvore Merkle Vazia e ao Ataque de IAVL Spoofing.
Bugs relacionados à verificação de prova IAVL do Tendermint
A atualização pública faz parte da Política de divulgação responsável de vulnerabilidades da empresa e ocorre após o período obrigatório de 120 dias.
Segundo a Verichain, as vulnerabilidades identificadas são de “natureza crítica” e a falta de ação pode fazer com que os hackers explorem os bugs para causar mais danos. Todos os projetos Web3 que ainda executam a verificação de prova IAVL no Tendermint precisam agir rapidamente para proteger ativos e mitigar possíveis riscos de exploração.
De acordo com a plataforma, os riscos foram descobertos em outubro de 2022, enquanto a equipe vasculhava vulnerabilidades após um hack em uma ponte BNB Chain. O veredicto dos especialistas em segurança foi que o crítico IAVL Spoofing Attack sugeria múltiplas vulnerabilidades tanto no BNB Chain quanto no Tendermint. O ecossistema poderia ter sido exposto a “uma perda significativa de fundos”, observaram os especialistas.
Enquanto um patch foi feito no BNB Chain em outubro passado, o mesmo não aconteceu com o mantenedor do Tendermint/Cosmos. Um patch para a biblioteca Tendermint Core não aconteceu porque o Cosmos SDK e IBC migraram da verificação de prova IAVL Merkle para ICS-23.
O espaço blockchain viu inúmeras violações em pontes, com milhões de dólares em ativos digitais roubados. Consequentemente, os especialistas da Verichain observam que os projetos não devem subestimar a escala de possíveis violações, dada a exploração que viu o Cross-Chain Bridge da BNB Chain ser atacado em 2 milhões de BNB no valor de mais de $ 566 milhões emitidos ilegalmente.
Fonte: https://invezz.com/news/2023/03/08/verichains-discloses-critical-blockchain-security-vulnerabilities/