发现多个严重漏洞后,业界领先 blockchain 安全公司 Verichains 已推荐使用 Tendermint 的 IAVL 证明验证的项目采取措施保护其资产并降低被利用的可能性。
Verichains 提供了公共咨询, VSA-2022-100,根据 8 月 XNUMX 日与 Finbold 共享的信息,关于 Tendermint Core 的 IAVL 证明中的一个重要的 Empty Merkle Tree 漏洞,这是一个著名的 BFT 共识引擎。
去年 XNUMX 月,Verichains 在处理 BNB 链桥漏洞后的工作时发现了这一发现。 安全专家发现了严重的 IAVL 欺骗攻击 BNB链 和薄荷糖。 他们发现了许多漏洞,这使他们得出结论,攻击可能导致了资金的重大损失。 由于先前存在的工作伙伴关系,BNB Chain 在 XNUMX 月份获悉了这些结果,并立即部署了修复程序。
突然间,Tendermint/Cosmos 的维护者被私下告知了这些缺陷,并且他们得到了认可。 然而,Tendermint 库没有得到修复,因为 IBC 和 Cosmos-SDK 实现已经从 IAVL Merkle 证明验证切换到 ICS-23。 目前,有几个项目处于危险之中。 这些项目包括 宇宙, 币安智能链, OKX, 和 卡瓦.
BNB Chain 获悉调查结果
第二个公共咨询,指定为 VSA-2022-101,也已由 Verichains 发布,从零到欺骗——通过多个漏洞进行严重的 IAVL 欺骗攻击。
这是作为其负责任的漏洞披露计划的一部分完成的。 Cosmos Hub 和所有其他基于 Tendermint 构建的区块链均由称为 Tendermint Core 的共识引擎提供支持。
根据 Verichains 的负责任的漏洞披露政策,该公司等了 120 天才公开漏洞。 由于漏洞的严重性,可能会有更多的桥梁被黑客攻击,从而导致额外的付款损失,金额可能达到数亿美元,甚至数十亿美元。
因此,Verichains 建议任何依赖 Tendermint 的 IAVL 证明验证的易受攻击的 Web3 项目立即实施安全升级。
一旦发现,Verichains 团队会立即通过公司网站向公众披露其发现的漏洞和安全漏洞。
来源:https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/