複数の重大な脆弱性が発見された後、業界をリードする ブロックチェーン セキュリティ会社の Verichains は、Tendermint の IAVL 証明検証を使用して資産を保護し、悪用される可能性を減らすための対策を講じるプロジェクトを推奨しています。
Verichains は公開勧告を提供しており、 VSA-2022-100、8 月 XNUMX 日に Finbold と共有された情報によると、著名な BFT コンセンサス エンジンである Tendermint Core の IAVL プルーフにおける重大な空のマークル ツリーの脆弱性について。
昨年 XNUMX 月、Verichains は、BNB チェーン ブリッジの侵害の余波に取り組んでいたときに、この発見を発見しました。 重大な IAVL スプーフィング攻撃は、脆弱性を探していたセキュリティの専門家によって発見されました。 BNBチェーン そしてテンダーミント。 彼らは多くの欠陥を発見し、攻撃が資金の大きな損失につながった可能性があるという結論に至りました。 既存の作業パートナーシップにより、BNB チェーンは XNUMX 月にこれらの結果を通知され、すぐに修正を展開しました。
突然、Tendermint/Cosmos のメンテナは非公開で欠陥を知らされ、認識されました。 ただし、Tendermint ライブラリは、IBC と Cosmos-SDK の実装が既に IAVL マークル証明検証から ICS-23 に切り替えられていたため、修正されませんでした。 現在、いくつかのプロジェクトが危険にさらされています。 これらのプロジェクトの中には、 コスモス、バイナンス スマート チェーン、OKX、および カバ.
調査結果を通知されたBNBチェーン
として指定された XNUMX 番目の公開勧告 VSA-2022-101、Nil から Spoof への Verichains によっても発行されました – 複数の脆弱性による重大な IAVL スプーフィング攻撃。
これは、責任ある脆弱性開示イニシアチブの一環として行われました。 Tendermint 上に構築された Cosmos Hub およびその他のすべてのブロックチェーンは、Tendermint Core と呼ばれるコンセンサス エンジンによって駆動されます。
Verichains の責任ある脆弱性開示ポリシーによると、同社は 120 日間待ってから脆弱性を公開しました。 欠陥の重大性により、さらにブリッジがハッキングされる可能性があり、その結果、さらに支払いが失われ、数億ドル、場合によっては数十億ドルに上る可能性があります。
その結果、Verichains は、Tendermint の IAVL 証明検証に依存する脆弱な Web3 プロジェクトは、即時のセキュリティ アップグレードを実装することを推奨しています。
Verichains チームは、発見された脆弱性とセキュリティ ホールを、会社のサイトを通じて速やかに公開します。
ソース: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/