Verichains 是一家领先的区块链安全公司,已经确定了重要的 blockchain 安全漏洞。
在对生态系统项目的紧急公共咨询中,Verichains 团队表示,这些漏洞与 Tendermint Core 中的 IAVL 证明验证和欺骗攻击有关,并且 宇宙. 具体来说,安全风险与严重的 Empty Merkle Tree 漏洞和 IAVL 欺骗攻击有关。
Tendermint 的 IAVL 证明验证相关的 Bug
公开更新是公司负责任的漏洞披露政策的一部分,并在必要的 120 天期限之后发布。
根据 Verichain 的说法,已识别的漏洞属于“批判性”,如果不采取行动,黑客可能会利用这些漏洞造成进一步的伤害。 所有仍在 Tendermint 上运行 IAVL 证明验证的 Web3 项目都需要快速移动以保护资产并降低潜在的利用风险。
根据该平台,风险是在 2022 年 XNUMX 月发现的,当时该团队在 BNB 链桥遭到黑客攻击后梳理漏洞。 安全专家的结论是,严重的 IAVL 欺骗攻击表明 BNB Chain 和 Tendermint 中存在多个漏洞。 专家指出,该生态系统可能会面临“大量资金损失”。
虽然去年 23 月在 BNB 链上打了补丁,但 Tendermint/Cosmos 维护者并没有发生同样的事情。 由于 Cosmos SDK 和 IBC 已从 IAVL Merkle 证明验证迁移到 ICS-XNUMX,因此 Tendermint 核心库没有出现补丁。
区块链空间在桥梁上发生了无数次破坏,价值数百万美元的数字资产被盗。 因此,Verichain 专家指出,鉴于 BNB Chain 的跨链桥遭到攻击,非法发行价值超过 2 亿美元的 566 万枚 BNB,项目不应低估任何可能违规的规模。
来源:https://invezz.com/news/2023/03/08/verichains-discloses-critical-blockchain-security-vulnerabilities/