Após a descoberta de várias vulnerabilidades críticas, o líder do setor blockchain a empresa de segurança Verichains recomendou projetos usando a verificação de prova IAVL da Tendermint para tomar medidas para proteger seus ativos e reduzir a probabilidade de serem explorados.
A Verichains forneceu uma assessoria pública, VSA-2022-100, sobre uma vulnerabilidade significativa do Empty Merkle Tree na prova IAVL no Tendermint Core, um proeminente mecanismo de consenso BFT, de acordo com as informações compartilhadas com Finbold em 8 de março.
Em outubro do ano passado, a Verichains descobriu essa descoberta quando trabalhava após a violação da ponte BNB Chain. O grave IAVL Spoofing Attack foi descoberto por profissionais de segurança que procuravam pontos fracos em Cadeia BNB e Menta. Eles descobriram muitas falhas, o que os levou à conclusão de que o ataque pode ter levado a uma grande perda de fundos. Devido a uma parceria de trabalho preexistente, o BNB Chain foi informado desses resultados em outubro e imediatamente implantou uma correção.
De repente, o mantenedor do Tendermint/Cosmos foi informado em particular sobre as falhas e elas foram reconhecidas. A biblioteca Tendermint, no entanto, não obteve uma correção, pois a implementação do IBC e do Cosmos-SDK já havia mudado para ICS-23 da verificação de prova IAVL Merkle. No momento, vários projetos estão em risco. Entre esses projetos estão Cosmos, Binance Smart Chain, OKX e Kava.
Cadeia do BNB informada das descobertas
Um segundo aviso público, designado como VSA-2022-101, também foi emitido por Verichains From Nil to Spoof – Critical IAVL Spoofing Attack via Multiple Vulnerabilities.
Isso foi feito como parte de sua iniciativa de divulgação responsável de vulnerabilidades. O Cosmos Hub e todos os outros blockchains construídos no Tendermint são alimentados por um mecanismo de consenso chamado Tendermint Core.
De acordo com a Política de divulgação responsável de vulnerabilidades da Verichains, a empresa esperou 120 dias antes de tornar a vulnerabilidade pública. Devido à gravidade da falha, é possível que outras pontes sejam invadidas, resultando em pagamentos adicionais perdidos, que podem chegar a centenas de milhões, ou talvez bilhões, de dólares.
Como resultado, a Verichains recomendou que qualquer projeto Web3 vulnerável que dependa da verificação à prova de IAVL do Tendermint implemente atualizações de segurança imediatas.
Uma vez descobertas, a equipe da Verichains divulga prontamente as vulnerabilidades e brechas de segurança encontradas ao público por meio do site da empresa.
Fonte: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/