Ahultasun kritiko anitz aurkitu ondoren, industria liderra blockchain Verichains segurtasun konpainiak Tendermint-en IAVL froga egiaztapena erabiltzen duten proiektuak gomendatu ditu bere aktiboak babesteko eta ustiatzeko probabilitatea murrizteko neurriak hartzeko.
Verichains-ek aholku publiko bat eman du, VSA-2022-100Martxoaren 8an Finbold-ekin partekatutako informazioaren arabera Tendermint Core-n, BFT adostasun-motor nabarmena den IAVL frogako Empty Merkle Tree ahultasun esanguratsu bati buruz.
Iazko urrian, Verichains-ek aurkikuntza hau aurkitu zuen BNB Chain zubi-haustearen ostean lanean ari zirela. IAVL Spoofing Eraso larria ahulguneen bila zebiltzan segurtasun profesionalek aurkitu zuten BNB Katea eta Tendermint. Akats asko aurkitu zituzten, eta, ondorioz, erasoak funtsen galera handia ekarri zezakeela ondorioztatu zuten. Lehendik zegoen lan-elkarte bat zela eta, BNB Chain-ek emaitza horien berri eman zuen urrian eta berehala zabaldu zuen konponketa.
Bat-batean, Tendermint/Cosmos mantentzaileari akatsak modu pribatuan jakinarazi zizkioten, eta aitortu zitzaien. Tendermint liburutegiak, ordea, ez zuen konponketarik lortu IBC eta Cosmos-SDK inplementazioa dagoeneko ICS-23ra aldatu baitzen IAVL Merkle froga egiaztapenetik. Momentu honetan, hainbat proiektu arriskuan daude. Proiektu horien artean daude Cosmos, Binance Smart Chain, OKX eta Kava.
BNB Kateak aurkikuntzen berri eman du
Bigarren aholku publiko bat, honela izendatua VSA-2022-101, Verichains From Nil to Spoof-ek ere igorri du - Critical IAVL Spoofing Attack via Multiple Vulnerabilities.
Hau bere Responsible Vulnerability Disclosure ekimenaren barruan egin zen. Cosmos Hub-a eta Tendermint-en eraikitako beste bloke-kate guztiak Tendermint Core izeneko adostasun-motor batek elikatzen dira.
Verichains-en ahultasun arduratsuaren dibulgazio politikaren arabera, konpainiak 120 egun itxaron zuen ahultasuna publiko egin aurretik. Akatsaren larritasuna dela eta, baliteke zubi gehiago hackeatzea eta, ondorioz, ordainketa gehiago galtzea, ehunka milioi, edo agian, milioika dolar izan daitezke.
Ondorioz, Verichains-ek Tendermint-en IAVL frogaren egiaztapenean oinarritzen diren Web3 proiektu zaurgarriei berehalako segurtasun-berritzeak ezartzea gomendatu du.
Deskubritu ondoren, Verichains taldeak berehala ezagutarazten ditu aurkitu dituen ahuleziak eta segurtasun-zuloak konpainiaren gunearen bidez.
Iturria: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/