Verichains divulga vulnerabilidades críticas de segurança de blockchain

A Verichains, empresa líder em segurança de blockchain, identificou blockchain vulnerabilidades de segurança.

Em um comunicado público urgente para projetos no ecossistema, a equipe da Verichains disse que as vulnerabilidades estão relacionadas à verificação de provas IAVL e ataques de falsificação no Tendermint Core e Cosmos. Especificamente, os riscos de segurança estão relacionados à vulnerabilidade crítica da Árvore Merkle Vazia e ao Ataque de IAVL Spoofing.

Bugs relacionados à verificação de prova IAVL do Tendermint

A atualização pública faz parte da Política de divulgação responsável de vulnerabilidades da empresa e ocorre após o período obrigatório de 120 dias.

Segundo a Verichain, as vulnerabilidades identificadas são de “natureza crítica” e a falta de ação pode fazer com que os hackers explorem os bugs para causar mais danos. Todos os projetos Web3 que ainda executam a verificação de prova IAVL no Tendermint precisam agir rapidamente para proteger ativos e mitigar possíveis riscos de exploração.

De acordo com a plataforma, os riscos foram descobertos em outubro de 2022, enquanto a equipe vasculhava vulnerabilidades após um hack em uma ponte BNB Chain. O veredicto dos especialistas em segurança foi que o crítico IAVL Spoofing Attack sugeria múltiplas vulnerabilidades tanto no BNB Chain quanto no Tendermint. O ecossistema poderia ter sido exposto a “uma perda significativa de fundos”, observaram os especialistas.

Enquanto um patch foi feito no BNB Chain em outubro passado, o mesmo não aconteceu com o mantenedor do Tendermint/Cosmos. Um patch para a biblioteca Tendermint Core não aconteceu porque o Cosmos SDK e IBC migraram da verificação de prova IAVL Merkle para ICS-23.

O espaço blockchain viu inúmeras violações em pontes, com milhões de dólares em ativos digitais roubados. Consequentemente, os especialistas da Verichain observam que os projetos não devem subestimar a escala de possíveis violações, dada a exploração que viu o Cross-Chain Bridge da BNB Chain ser atacado em 2 milhões de BNB no valor de mais de $ 566 milhões emitidos ilegalmente.