베리체인즈, 블록체인 보안 취약성 폭로 후 조치 촉구

주요 블록체인 보안 회사인 Verichains는 여러 중요한 취약점을 발견한 후 Tendermint의 IAVL 증명 검증을 채택하여 자산을 보호하고 악용 위험을 줄이는 회사를 추천했습니다.

잘 알려진 BFT 합의 엔진인 Tendermint Core의 IAVL 증명에 있는 중요한 Empty Merkle Tree 취약점이 Verichains에 의해 Responsible Vulnerability Disclosure 프로그램의 일부로 공개 권고라는 제목으로 공개되었습니다. VSA-2022-100. Cosmos Hub 및 기타 Tendermint 기반 블록체인은 Tendermint Core 합의 엔진에 의해 구동됩니다.

베리체인즈의 두 번째 공개 권고는 다음과 같이 게시됩니다. VSA-2022-101. 여러 취약점을 통한 중요한 IAVL 스푸핑 공격: Nil에서 스푸핑까지.

BNB 체인 브리지 공격의 여파로 베리체인즈는 지난해 XNUMX월 작업을 하던 중 이 사실을 발견했다. 보안 전문가들은 BNB Chain과 Tendermint에서 발견된 여러 결함을 통해 발견된 심각한 IAVL 스푸핑 공격의 결과로 상당한 양의 자금이 손실되었을 수 있다고 주장합니다.

확립된 작업 관계로 인해 BNB Chain은 XNUMX월에 이러한 결과를 통보받고 즉시 문제를 해결했습니다.

Tendermint/Cosmos 메인테이너는 기밀 공개를 동시에 받았고 결함을 인식했습니다. 그럼에도 불구하고 IBC 및 Cosmos-SDK 구현이 이미 IAVL Merkle 증명 검증에서 ICS-23으로 전환되었기 때문에 Tendermint 라이브러리에 대한 수정 사항이 제공되지 않았습니다. Cosmos, Binance Smart Chain, OKX 및 Kava를 포함한 여러 프로젝트가 현재 위험에 처해 있습니다.

120일 후 Vericchains는 책임 있는 취약성 공개 정책에 따라 대중에게 알렸습니다. 버그의 중요한 특성으로 인해 더 많은 브리지 해킹과 그에 따른 자금 손실은 특정 상황에서 수백만 또는 수십억 달러의 비용이 들 수 있습니다.

여전히 Tendermint의 IAVL 증명 검증을 사용하고 있는 Web3 프로젝트는 보안을 강화하라는 Verichains의 경고를 받았습니다.

정기적으로 Verichains 팀은 조사 및 테스트를 통해 발견된 보안 결함 및 취약성을 조직 웹 사이트에 게시합니다.

출처: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/