在發現多個嚴重漏洞後,領先的區塊鏈安全公司 Verichains 建議公司採用 Tendermint 的 IAVL 證明驗證來保護其資產並降低開發風險。
Verichains 已在名為 VSA-2022-100. Cosmos Hub 和其他基於 Tendermint 的區塊鏈由 Tendermint Core 共識引擎提供支持。
Verichains 的第二個公共諮詢發佈為 VSA-2022-101. 通過多個漏洞進行關鍵的 IAVL 欺騙攻擊:從零到欺騙。
在 BNB 鏈橋攻擊事件發生後,Verichains 在去年 XNUMX 月的工作中發現了這一發現。 安全專家聲稱,嚴重的 IAVL 欺騙攻擊可能導致大量資金損失,該攻擊是通過 BNB Chain 和 Tendermint 中發現的幾個漏洞發現的。
由於既定的工作關係,BNB Chain 在 XNUMX 月份獲悉了這些結果並及時修復了問題。
Tendermint/Cosmos 維護者同時收到一份機密披露,他們承認了這些缺陷。 儘管如此,由於 IBC 和 Cosmos-SDK 實現已經從 IAVL Merkle 證明驗證切換到 ICS-23,因此無法為 Tendermint 庫提供修復。 現在有幾個項目處於危險之中,包括 Cosmos、幣安智能鏈、OKX 和 Kava。
120 天后,Verichains 已根據其負責任的漏洞披露政策通知公眾。 由於漏洞的嚴重性,在某些情況下,更多的橋接攻擊和隨之而來的資金損失可能會造成數百萬甚至數十億美元的損失。
仍在使用 Tendermint 的 IAVL 證明驗證的 Web3 項目已被 Verichains 警告以增強其安全性。
Verichains 團隊會定期在組織網站上發布通過調查和測試發現的安全缺陷和漏洞。
來源:https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/