다수의 치명적인 취약점이 발견된 후, 업계를 선도하는 blockchain 보안 회사인 Verichains는 자산을 보호하고 악용될 가능성을 줄이기 위해 Tendermint의 IAVL 증명 검증을 사용하는 프로젝트를 추천했습니다.
베리체인즈는 공개 자문을 제공했습니다. VSA-2022-100, 8월 XNUMX일 Finbold와 공유된 정보에 따라 저명한 BFT 합의 엔진인 Tendermint Core의 IAVL 증명에서 중요한 빈 머클 트리 취약성에 대해 설명합니다.
작년 XNUMX월, 베리체인즈는 BNB 체인 브리지 위반의 여파로 작업을 하던 중 이 발견을 발견했습니다. 심각한 IAVL 스푸핑 공격은 취약점을 찾고 있던 보안 전문가들에 의해 발견되었습니다. 비앤비체인 그리고 텐더민트. 그들은 많은 결점을 발견했고, 그 결과 공격으로 인해 막대한 자금 손실이 발생했을 수 있다는 결론에 도달했습니다. 기존 작업 파트너십으로 인해 BNB 체인은 XNUMX월에 이러한 결과를 통보받았고 즉시 수정 사항을 배포했습니다.
한 번에 Tendermint/Cosmos 메인테이너에게 개인적으로 결함에 대한 정보를 제공했고 결함을 인식했습니다. 그러나 Tendermint 라이브러리는 IBC 및 Cosmos-SDK 구현이 이미 IAVL Merkle 증명 검증에서 ICS-23으로 전환되었기 때문에 수정되지 않았습니다. 현재 여러 프로젝트가 위험에 처해 있습니다. 이러한 프로젝트에는 다음이 포함됩니다. 코스모스, 바이낸스 스마트 체인, OKX 및 Kava.
BNB 체인에 결과 통보
로 지정된 두 번째 공개 권고 VSA-2022-101, 또한 Verichains From Nil to Spoof – Critical IAVL Spoofing Attack via Multiple Vulnerabilities에 의해 발행되었습니다.
이는 책임 있는 취약성 공개 이니셔티브의 일환으로 수행되었습니다. Cosmos Hub와 Tendermint에 구축된 다른 모든 블록체인은 Tendermint Core라는 합의 엔진으로 구동됩니다.
Verichains의 책임있는 취약점 공개 정책에 따르면 회사는 취약점을 공개하기 전에 120일을 기다렸습니다. 결함의 심각성으로 인해 추가 브리지가 해킹되어 수억 또는 수십억 달러에 달하는 추가 지불 손실이 발생할 수 있습니다.
결과적으로 Verichains는 Tendermint의 IAVL 증명 검증에 의존하는 모든 취약한 Web3 프로젝트에 즉각적인 보안 업그레이드를 구현할 것을 권장했습니다.
Verichains 팀은 발견한 취약성과 보안 허점을 회사 사이트를 통해 대중에게 즉시 공개합니다.
출처: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/