หลังจากพบช่องโหว่ที่สำคัญหลายจุด Verichains บริษัทรักษาความปลอดภัยชั้นนำด้านบล็อกเชนแนะนำให้บริษัทต่างๆ ใช้การตรวจสอบพิสูจน์ IAVL ของ Tendermint เพื่อปกป้องทรัพย์สินและลดความเสี่ยงจากการถูกโจมตี
Verichains เปิดเผยช่องโหว่ที่ว่างเปล่าใน Merkle Tree ในการพิสูจน์ IAVL บน Tendermint Core ซึ่งเป็นเครื่องมือเอกฉันท์ BFT ที่รู้จักกันดี โดยเป็นส่วนหนึ่งของโปรแกรมการเปิดเผยช่องโหว่อย่างมีความรับผิดชอบในที่ปรึกษาสาธารณะเรื่อง วีเอสเอ-2022-100. Cosmos Hub และบล็อกเชนอื่น ๆ ที่ใช้ Tendermint นั้นขับเคลื่อนโดยกลไกฉันทามติของ Tendermint Core
มีการเผยแพร่คำแนะนำสาธารณะครั้งที่สองจาก Verichains ในชื่อ วีเอสเอ-2022-101. IAVL Spoofing Attack ที่สำคัญผ่านช่องโหว่ต่างๆ: จาก Nil ถึง Spoof
ผลพวงของการโจมตีสะพาน BNB Chain Verichains ค้นพบการค้นพบนี้ขณะทำงานในเดือนตุลาคมปีที่แล้ว ผู้เชี่ยวชาญด้านความปลอดภัยอ้างว่าเงินจำนวนมากอาจหายไปจากการโจมตี IAVL Spoofing ที่ร้ายแรง ซึ่งถูกค้นพบผ่านข้อบกพร่องหลายประการที่พบใน BNB Chain และ Tendermint
เนื่องจากความสัมพันธ์ในการทำงานที่มั่นคง BNB Chain ได้รับแจ้งถึงผลลัพธ์เหล่านี้ในเดือนตุลาคมและแก้ไขปัญหาได้ทันท่วงที
ผู้ดูแล Tendermint/Cosmos ได้รับการเปิดเผยความลับในเวลาเดียวกัน และพวกเขาก็รับรู้ข้อบกพร่อง อย่างไรก็ตาม เนื่องจากการใช้งาน IBC และ Cosmos-SDK ได้เปลี่ยนจากการตรวจสอบพิสูจน์ IAVL Merkle เป็น ICS-23 แล้ว การแก้ไขจึงไม่สามารถใช้งานได้กับไลบรารี Tendermint หลายโครงการกำลังตกอยู่ในอันตราย รวมถึง Cosmos, Binance Smart Chain, OKX และ Kava
หลังจากผ่านไป 120 วัน Verichains ได้แจ้งให้สาธารณชนทราบตามนโยบายการเปิดเผยข้อมูลช่องโหว่อย่างมีความรับผิดชอบ เนื่องจากลักษณะสำคัญของบั๊ก การแฮ็กบริดจ์จำนวนมากขึ้นและการสูญเสียเงินทุนที่ตามมา ในบางสถานการณ์ อาจมีค่าใช้จ่ายหลายล้านหรือแม้แต่พันล้านดอลลาร์
โครงการ Web3 ที่ยังคงใช้การตรวจสอบพิสูจน์ IAVL ของ Tendermint ได้รับคำเตือนจาก Verichains ให้เพิ่มความปลอดภัย
เป็นประจำ ทีมงาน Verichains เผยแพร่ข้อบกพร่องด้านความปลอดภัยและช่องโหว่ที่พบผ่านการตรวจสอบและทดสอบบนเว็บไซต์ขององค์กร
ที่มา: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/