Mae Verichains yn datgelu gwendidau diogelwch blockchain hanfodol

Mae Verichains, cwmni diogelwch blockchain blaenllaw, wedi nodi arwyddocaol blockchain gwendidau diogelwch.

Mewn ymgynghoriad cyhoeddus brys i brosiectau yn yr ecosystem, dywedodd tîm Verichains fod y gwendidau yn ymwneud ag ymosodiadau gwirio prawf IAVL ac ymosodiadau ffug yn Tendermint Core a Cosmos. Yn benodol, mae'r risgiau diogelwch yn ymwneud â bregusrwydd hanfodol Coeden Merkle Wag ac IAVL Spoofing Attack.

Bygiau sy'n gysylltiedig â dilysiad prawf IAVL Tendermint

Mae'r diweddariad cyhoeddus yn rhan o Bolisi Datgelu Agored i Niwed Cyfrifol y cwmni, a daw ar ôl y cyfnod gofynnol o 120 diwrnod.

Yn ôl Verichain, mae'r gwendidau a nodwyd o “natur feirniadol” a gallai diffyg gweithredu weld hacwyr yn ecsbloetio’r bygiau i achosi niwed pellach. Mae angen i bob prosiect Web3 sy'n dal i redeg y dilysiad prawf IAVL ar Tendermint symud yn gyflym i sicrhau asedau a lliniaru risgiau ecsbloetio posibl.

Fesul y platfform, darganfuwyd y risgiau ym mis Hydref 2022 wrth i'r tîm gribo am wendidau ar ôl hac ar bont Cadwyn BNB. Y dyfarniad gan arbenigwyr diogelwch oedd bod yr IAVL Spoofing Attack hollbwysig yn awgrymu gwendidau lluosog yn y Gadwyn BNB a Tendr. Gallai’r ecosystem fod wedi bod yn agored i “golled arian sylweddol,” nododd yr arbenigwyr.

Er bod darn wedi'i wneud ar y Gadwyn BNB fis Hydref diwethaf, ni ddigwyddodd yr un peth gyda chynhaliwr Tendermint / Cosmos. Ni ddigwyddodd darn i lyfrgell Craidd Tendermint gan fod y Cosmos SDK ac IBC wedi mudo o ddilysiad prawf IAVL Merkle i ICS-23.

Mae'r gofod blockchain wedi gweld nifer o doriadau ar bontydd, gyda gwerth miliynau o ddoleri o asedau digidol wedi'u dwyn. Yn unol â hynny, mae arbenigwyr Verichain yn nodi na ddylai prosiectau danbrisio maint unrhyw doriadau posibl, o ystyried y camfanteisio a welodd ymosod ar Bont Traws-Gadwyn BNB 2 filiwn BNB gwerth dros $566 miliwn a gyhoeddwyd yn anghyfreithlon.