複数の重大な脆弱性を発見した後、主要なブロックチェーン セキュリティ企業である Verichains は、Tendermint の IAVL 証明検証を使用して資産を保護し、悪用のリスクを軽減することを企業に推奨しました。
有名な BFT コンセンサス エンジンである Tendermint Core の IAVL プルーフに存在する重大な空のマークル ツリーの脆弱性が、Verichains の責任ある脆弱性開示プログラムの一環として公開勧告として公開されました。 VSA-2022-100. Cosmos Hub およびその他の Tendermint ベースのブロックチェーンは、Tendermint Core コンセンサス エンジンを搭載しています。
Verichains からの XNUMX 番目の公開勧告は、次のように発行されます。 VSA-2022-101. いくつかの脆弱性による重要な IAVL スプーフィング攻撃: Nil から Spoof まで。
BNB チェーン ブリッジ攻撃の余波で、Verichains は昨年 XNUMX 月に作業中にこの発見を発見しました。 セキュリティの専門家は、BNB チェーンとテンダーミントで発見されたいくつかの欠陥を通じて発見された重大な IAVL スプーフィング攻撃の結果として、かなりの金額が失われた可能性があると主張しています。
確立された協力関係により、BNB チェーンは XNUMX 月にこれらの結果を通知され、すぐに問題を修正しました。
Tendermint/Cosmos のメンテナは同時に機密開示を受け取り、欠陥を認識しました。 それにもかかわらず、IBC と Cosmos-SDK の実装は既に IAVL マークル プルーフ検証から ICS-23 に切り替えられていたため、Tendermint ライブラリの修正は利用できませんでした。 Cosmos、Binance Smart Chain、OKX、Kava など、いくつかのプロジェクトが現在危険にさらされています。
120 日後、Verichains は責任ある脆弱性開示ポリシーに従って一般に通知しました。 バグの重大な性質により、ブリッジのハッキングが増えて資金が失われると、状況によっては数百万ドル、さらには数十億ドルの費用がかかる可能性があります。
Tendermint の IAVL 証明検証をまだ使用している Web3 プロジェクトは、Verichains からセキュリティを強化するよう警告されています。
Verichains チームは定期的に、組織の Web サイトでの調査とテストを通じて発見されたセキュリティの欠陥と脆弱性を公開しています。
ソース: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/