在发现多个严重漏洞后,领先的区块链安全公司 Verichains 建议公司采用 Tendermint 的 IAVL 证明验证来保护其资产并降低开发风险。
Verichains 已在名为 VSA-2022-100. Cosmos Hub 和其他基于 Tendermint 的区块链由 Tendermint Core 共识引擎提供支持。
Verichains 的第二个公共咨询发布为 VSA-2022-101. 通过多个漏洞进行关键的 IAVL 欺骗攻击:从零到欺骗。
在 BNB 链桥攻击事件发生后,Verichains 在去年 XNUMX 月的工作中发现了这一发现。 安全专家声称,严重的 IAVL 欺骗攻击可能导致大量资金损失,该攻击是通过 BNB Chain 和 Tendermint 中发现的几个漏洞发现的。
由于既定的工作关系,BNB Chain 在 XNUMX 月份获悉了这些结果并及时修复了问题。
Tendermint/Cosmos 维护者同时收到一份机密披露,他们承认了这些缺陷。 尽管如此,由于 IBC 和 Cosmos-SDK 实现已经从 IAVL Merkle 证明验证切换到 ICS-23,因此无法为 Tendermint 库提供修复。 现在有几个项目处于危险之中,包括 Cosmos、币安智能链、OKX 和 Kava。
120 天后,Verichains 已根据其负责任的漏洞披露政策通知公众。 由于漏洞的严重性,在某些情况下,更多的桥接攻击和随之而来的资金损失可能会造成数百万甚至数十亿美元的损失。
仍在使用 Tendermint 的 IAVL 证明验证的 Web3 项目已被 Verichains 警告以增强其安全性。
Verichains 团队会定期在组织网站上发布通过调查和测试发现的安全缺陷和漏洞。
来源:https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/