Ar ôl dod o hyd i wendidau critigol lluosog, argymhellodd y cwmni diogelwch blockchain blaenllaw Verichains gwmnïau i ddefnyddio prawf IAVL Tendermint i ddiogelu eu hasedau a lleihau risgiau camfanteisio.
Mae Verichains wedi datgelu bregusrwydd sylweddol o Goed Merkle Gwag yn y prawf IAVL ar Tendermint Core, injan consensws BFT adnabyddus, fel rhan o'i raglen Datgelu Agored i Niwed Cyfrifol mewn ymgynghoriad cyhoeddus o'r enw VSA-2022-100. Mae'r Cosmos Hub a blockchains eraill sy'n seiliedig ar Tendermint yn cael eu pweru gan injan consensws Tendermint Core.
Cyhoeddir ail gynghorydd cyhoeddus gan Verichains fel VSA-2022-101. IAVL Hanfodol Ymosodiad Spoofing Trwy Nifer o Ffactorau Bregus: O Ddim i Spoof.
Yn dilyn ymosodiad pont Gadwyn BNB, darganfu Verichains y canfyddiad hwn wrth weithio ym mis Hydref y llynedd. Mae arbenigwyr diogelwch yn honni y gallai swm sylweddol o arian fod wedi'i golli o ganlyniad i Ymosodiad Spoofing difrifol IAVL, a ddarganfuwyd trwy nifer o ddiffygion a ddarganfuwyd yn BNB Chain a Tendmint.
Oherwydd perthynas waith sefydledig, hysbyswyd BNB Chain o'r canlyniadau hyn ym mis Hydref a datrysodd y broblem yn brydlon.
Derbyniodd y sawl sy’n cynnal y Tendr/Cosmos ddatgeliad cyfrinachol ar yr un pryd, ac roedd yn cydnabod y diffygion. Serch hynny, gan fod gweithrediad IBC a Cosmos-SDK eisoes wedi newid o ddilysu prawf IAVL Merkle i ICS-23, ni chafwyd atgyweiriad ar gyfer y llyfrgell Tendermint. Mae sawl prosiect bellach mewn perygl, gan gynnwys Cosmos, Binance Smart Chain, OKX, a Kava.
Ar ôl 120 diwrnod, mae Verichains wedi hysbysu'r cyhoedd yn unol â'i Bolisi Datgelu Perygl Cyfrifol. Oherwydd natur hanfodol y byg, gallai mwy o hacio pontydd a cholledion arian yn dilyn, mewn rhai sefyllfaoedd, gostio miliynau neu hyd yn oed biliynau o ddoleri.
Mae Verichains wedi rhybuddio prosiectau Web3 sy'n dal i ddefnyddio prawf IAVL Tendermint i wella eu diogelwch.
Yn rheolaidd, mae tîm Verichains yn cyhoeddi gwendidau diogelwch a gwendidau a ddarganfuwyd trwy ymchwilio a phrofi ar wefan y sefydliad.
Ffynhonnell: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/