Ar ôl darganfod gwendidau critigol lluosog, y diwydiant sy'n arwain blockchain Mae’r cwmni diogelwch Verichains wedi argymell prosiectau sy’n defnyddio gwiriad prawf IAVL Tendermint i gymryd camau i ddiogelu eu hasedau a lleihau’r tebygolrwydd o gael eu hecsbloetio.
Mae Verichains wedi darparu cyngor cyhoeddus, VSA-2022-100, am fregusrwydd sylweddol Coed Merkle Gwag yn y prawf IAVL ar Tendermint Core, injan consensws BFT amlwg, yn unol â'r wybodaeth a rennir gyda Finbold ar Fawrth 8.
Ym mis Hydref y llynedd, darganfu Verichains y canfyddiad hwn pan oeddent yn gweithio yn dilyn toriad pont Gadwyn BNB. Darganfuwyd Ymosodiad Spoofing IAVL difrifol gan weithwyr diogelwch proffesiynol a oedd yn chwilio am wendidau ynddo Cadwyn BNB a Tendr. Fe wnaethon nhw ddarganfod llawer o ddiffygion, a arweiniodd nhw i'r casgliad y gallai'r ymosodiad fod wedi arwain at golli arian yn fawr. Oherwydd partneriaeth waith a oedd yn bodoli eisoes, hysbyswyd BNB Chain o'r canlyniadau hyn ym mis Hydref a gosododd ateb ar unwaith.
Ar unwaith, hysbyswyd cynhaliwr y Tendr / Cosmos yn breifat am y diffygion, a chawsant eu cydnabod. Fodd bynnag, ni chafodd llyfrgell Tendermint atgyweiriad gan fod gweithrediad IBC a Cosmos-SDK eisoes wedi newid i ICS-23 o ddilysu prawf IAVL Merkle. Ar hyn o bryd, mae sawl prosiect mewn perygl. Ymhlith y prosiectau hyn mae Cosmos, Binance Smart Chain, OKX, a Cafa.
Hysbyswyd y Gadwyn BNB o'r canfyddiadau
Ail gynghorydd cyhoeddus, wedi ei ddynodi fel VSA-2022-101, hefyd wedi'i gyhoeddi gan Verichains From Nil to Spoof – IAVL Spoofing Attack Critical via Multiple Vulnerabilities.
Gwnaethpwyd hyn fel rhan o'i fenter Datgelu Agored i Niwed Cyfrifol. Mae'r Cosmos Hub a'r holl blockchains eraill sy'n cael eu hadeiladu ar Tendermint yn cael eu pweru gan injan consensws o'r enw Tendermint Core.
Yn ôl Polisi Datgelu Agored i Niwed Cyfrifol Verichains, arhosodd y cwmni 120 diwrnod cyn gwneud y bregusrwydd yn gyhoeddus. Oherwydd difrifoldeb y diffyg, mae'n bosibl y bydd pontydd pellach yn cael eu hacio, gan arwain at golli taliadau ychwanegol, a allai fod yn gannoedd o filiynau, neu efallai biliynau o ddoleri.
O ganlyniad, mae Verichains wedi argymell bod unrhyw brosiectau Web3 sy'n agored i niwed sy'n dibynnu ar ddilysiad IAVL-brawf Tendermint yn gweithredu uwchraddiadau diogelwch ar unwaith.
Ar ôl ei ddarganfod, mae tîm Verichains yn datgelu'n brydlon y gwendidau a'r tyllau diogelwch y mae wedi'u canfod i'r cyhoedd trwy wefan y cwmni.
Ffynhonnell: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/