Verichains חושפת פרצות אבטחה קריטיות של blockchain

Verichains, חברת אבטחת בלוקצ'יין מובילה, זיהתה משמעותית blockchain פרצות אבטחה.

בייעוץ ציבורי דחוף לפרויקטים במערכת האקולוגית, צוות Verichains אמר שהחולשות קשורות לאימות הוכחה של IAVL והתקפות זיוף ב-Tendermint Core ו קוסמוס. באופן ספציפי, סיכוני האבטחה מתייחסים לפגיעות קריטית של Empty Merkle Tree ולהתקפת זיוף של IAVL.

באגים הקשורים לאימות הוכחת IAVL של Tendermint

העדכון הציבורי הוא חלק ממדיניות גילוי הפגיעות האחראית של החברה, ומגיע לאחר 120 הימים הנדרשים.

לפי Verichain, הפגיעויות שזוהו הן של "אופי קריטי" וחוסר פעולה עלולים לראות האקרים מנצלים את הבאגים כדי לגרום נזק נוסף. כל הפרויקטים של Web3 שעדיין מריצים את אימות ההוכחה של IAVL ב-Tendermint צריכים לעבור במהירות כדי לאבטח נכסים ולהפחית סיכוני ניצול פוטנציאליים.

לפי הפלטפורמה, הסיכונים התגלו באוקטובר 2022 כאשר הצוות חיפש נקודות תורפה לאחר פריצה לגשר שרשרת BNB. פסק הדין של מומחי אבטחה היה כי מתקפת הזיוף הקריטית של IAVL הציעה נקודות תורפה מרובות הן בשרשרת BNB והן ב-Tendermint. המערכת האקולוגית יכולה הייתה להיחשף ל"הפסד משמעותי של כספים", ציינו המומחים.

בעוד שבוצע תיקון בשרשרת BNB באוקטובר האחרון, זה לא קרה עם המתחזק של Tendermint/Cosmos. תיקון לספריית Tendermint Core לא התרחש מכיוון ש-Cosmos SDK ו-IBC עברו מהאימות של IAVL Merkle ל-ICS-23.

תחום הבלוקצ'יין ראה פריצות רבות בגשרים, כאשר נכסים דיגיטליים בשווי מיליוני דולרים נגנבו. בהתאם לכך, מומחי Verichain מציינים שפרויקטים לא צריכים להמעיט בהיקף ההפרות הצפויות כלשהן, בהתחשב בניצול שגרם לתקיפה של גשר Cross-Chain של BNB Chain ב-2 מיליון BNB בשווי של למעלה מ-566 מיליון דולר שהונפקו באופן לא חוקי.