Ahultasun kritiko anitz aurkitu ondoren, Verichains blockchain segurtasun konpainia nagusiak Tendermint-en IAVL froga egiaztatzea enpresei gomendatu die beren aktiboak babesteko eta ustiapen arriskuak murrizteko.
Tendermint Core-n, BFT adostasun-motor ezaguna den IAVL frogako Empty Merkle Tree ahultasun esanguratsu bat ezagutarazi du Verichains-ek bere Responsible Vulnerability Disclosure programaren baitan izenburuko aholku publiko batean. VSA-2022-100. Cosmos Hub eta Tendermint-en oinarritutako beste bloke-kateak Tendermint Core adostasun-motorrek elikatzen dituzte.
Verichains-en bigarren aholku publikoa honela argitaratzen da VSA-2022-101. Funtsezkoa IAVL Spoofing Erasoa hainbat ahultasunen bidez: Nil-etik Spoof-era.
BNB Chain zubiaren erasoaren ostean, Verichains-ek aurkikuntza hau aurkitu zuen iazko urrian lanean ari zela. Segurtasun adituek diotenez, IAVL Spoofing Eraso larriaren ondorioz funts kopuru esanguratsua galdu daiteke, BNB Chain eta Tendermint-en aurkitutako hainbat akatsen bidez aurkitu zena.
Ezarritako lan-harremana zela eta, BNB Chain-i emaitza horien berri eman zitzaion urrian eta berehala konpondu zuen arazoa.
Tendermint/Cosmos mantentzaileak isilpeko dibulgazio bat jaso zuen aldi berean, eta akatsak aitortu zituzten. Hala ere, IBC eta Cosmos-SDK inplementazioa IAVL Merkle froga egiaztapenetik ICS-23ra aldatu zenez, ez zen konponketarik eskuragarri jarri Tendermint liburutegirako. Hainbat proiektu arriskuan daude orain, besteak beste, Cosmos, Binance Smart Chain, OKX eta Kava.
120 egun igaro ondoren, Verichains-ek publikoari jakinarazi dio ahultasun arduratsuaren dibulgazio politikaren arabera. Akatsaren izaera erabakigarria dela eta, zubi-piratearen gehiago eta ondoriozko funts-galerak, egoera jakin batzuetan, milioi edo milioi dolar kosta daitezke.
Tendermint-en IAVL froga egiaztatzea erabiltzen ari diren Web3 proiektuei Verichains-ek ohartarazi die segurtasuna hobetzeko.
Aldian-aldian, Verichains taldeak ikerketa eta proben bidez aurkitutako segurtasun akatsak eta ahultasunak argitaratzen ditu erakundearen webgunean.
Iturria: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/