การเงิน

Verichains เตือนโครงการ Cosmos, BSC, OKX ถึงข้อบกพร่องด้านความปลอดภัยที่ร้ายแรง

03/08/2023
ข่าว Bitcoin Ethereum

หลังจากค้นพบช่องโหว่ที่สำคัญหลายรายการ ซึ่งเป็นผู้นำในอุตสาหกรรม blockchain Verichains บริษัทรักษาความปลอดภัยได้แนะนำโครงการโดยใช้การตรวจสอบพิสูจน์ IAVL ของ Tendermint เพื่อใช้มาตรการปกป้องทรัพย์สินและลดโอกาสที่จะถูกเอารัดเอาเปรียบ 

Verichains ได้ให้คำแนะนำสาธารณะ วีเอสเอ-2022-100เกี่ยวกับช่องโหว่ Empty Merkle Tree ที่สำคัญในการพิสูจน์ IAVL บน Tendermint Core ซึ่งเป็นเครื่องมือเอกฉันท์ BFT ที่โดดเด่น ตามข้อมูลที่แชร์กับ Finbold เมื่อวันที่ 8 มีนาคม

ในเดือนตุลาคมปีที่แล้ว Verichains ค้นพบการค้นพบนี้เมื่อพวกเขากำลังทำงานหลังจากเหตุการณ์ที่สะพาน BNB Chain แตก IAVL Spoofing Attack ที่ร้ายแรงถูกค้นพบโดยผู้เชี่ยวชาญด้านความปลอดภัยที่กำลังมองหาจุดอ่อนใน บีเอ็นบี เชน และเทนเดอร์มินต์ พวกเขาค้นพบข้อบกพร่องมากมาย ซึ่งนำไปสู่ข้อสรุปว่าการโจมตีอาจทำให้สูญเสียเงินทุนจำนวนมาก เนื่องจากการทำงานร่วมกันก่อนหน้านี้ BNB Chain ได้รับแจ้งถึงผลลัพธ์เหล่านี้ในเดือนตุลาคมและปรับใช้การแก้ไขทันที 

ภาพ

ในคราวเดียว ผู้ดูแล Tendermint/Cosmos ได้รับแจ้งเป็นการส่วนตัวถึงข้อบกพร่อง และพวกเขาได้รับการยอมรับ อย่างไรก็ตาม ไลบรารี Tendermint ไม่ได้รับการแก้ไขเนื่องจากการใช้งาน IBC และ Cosmos-SDK ได้เปลี่ยนมาใช้ ICS-23 จากการตรวจสอบพิสูจน์ IAVL Merkle แล้ว ขณะนี้มีหลายโครงการที่มีความเสี่ยง ในบรรดาโครงการเหล่านี้รวมถึง จักรวาล, Binance สมาร์ทเชน, OKX และ Kava

เชน BNB แจ้งผลการตรวจพบ

ที่ปรึกษาสาธารณะครั้งที่สองซึ่งกำหนดให้เป็น วีเอสเอ-2022-101ออกโดย Verichains From Nil to Spoof – Critical IAVL Spoofing Attack ผ่านช่องโหว่หลายจุด 

สิ่งนี้ทำขึ้นโดยเป็นส่วนหนึ่งของโครงการริเริ่มการเปิดเผยข้อมูลช่องโหว่อย่างมีความรับผิดชอบ Cosmos Hub และบล็อกเชนอื่น ๆ ทั้งหมดที่สร้างขึ้นบน Tendermint นั้นขับเคลื่อนโดยกลไกที่สอดคล้องกันที่เรียกว่า Tendermint Core

ตามนโยบายการเปิดเผยช่องโหว่อย่างมีความรับผิดชอบของ Verichains บริษัทรอ 120 วันก่อนที่จะเผยแพร่ช่องโหว่สู่สาธารณะ เนื่องจากความรุนแรงของข้อบกพร่อง เป็นไปได้ว่าบริดจ์เพิ่มเติมอาจถูกแฮ็ก ส่งผลให้สูญเสียการชำระเงินเพิ่มเติม ซึ่งอาจมีมูลค่าหลายร้อยล้านหรืออาจหลายพันล้านดอลลาร์ 

ด้วยเหตุนี้ Verichains จึงแนะนำให้โครงการ Web3 ที่มีช่องโหว่ซึ่งอาศัยการตรวจสอบ IAVL-proof ของ Tendermint ดำเนินการอัปเกรดความปลอดภัยทันที 

เมื่อค้นพบแล้ว ทีม Verichains จะเปิดเผยช่องโหว่และช่องโหว่ด้านความปลอดภัยที่พบต่อสาธารณะผ่านทางเว็บไซต์ของบริษัททันที

ที่มา: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/