Олон чухал сул талуудыг илрүүлсний дараа салбарын тэргүүлэгч blockchain аюулгүй байдлын компани Verichains өөрсдийн хөрөнгийг хамгаалах арга хэмжээ авах, мөлжлөгт өртөх магадлалыг бууруулахын тулд Tendermint-ийн IAVL баталгаажуулалтыг ашиглан төслүүдийг санал болгож байна.
Verichains олон нийтэд зөвлөгөө өгсөн. VSA-2022-100, 8-р сарын XNUMX-нд Финболдтой хуваалцсан мэдээллийн дагуу алдартай BFT зөвшилцлийн хөдөлгүүр болох Tendermint Core дээрх IAVL нотолгоонд ихээхэн хэмжээний Empty Merkle Tree эмзэг байдлын талаар.
Өнгөрсөн оны аравдугаар сард Verichains BNB Chain гүүр эвдэрсэний дараа ажиллаж байхдаа энэ олдворыг олж мэдсэн. Ноцтой IAVL хууран мэхлэх халдлагыг сул талыг хайж байсан аюулгүй байдлын мэргэжилтнүүд илрүүлсэн BNB сүлжээ болон Tendermint. Тэд олон алдаа дутагдлыг илрүүлсэн бөгөөд энэ нь тэднийг халдлага нь их хэмжээний хөрөнгө алдахад хүргэсэн байж магадгүй гэсэн дүгнэлтэд хүргэжээ. Өмнө нь ажиллаж байсан хамтын ажиллагааны улмаас BNB Chain-д XNUMX-р сард эдгээр үр дүнгийн талаар мэдээлсэн бөгөөд тэр даруй засвар хийсэн.
Нэгэн зэрэг Tendermint/Cosmos-ийн засварчинд алдаа дутагдлын талаар хувийн мэдээлэл өгч, тэдгээрийг хүлээн зөвшөөрсөн. Гэсэн хэдий ч IBC болон Cosmos-SDK хэрэгжилт нь IAVL Merkle баталгаажуулалтаас ICS-23 руу шилжсэн тул Tendermint номын санд засвар хийгээгүй. Одоогийн байдлаар хэд хэдэн төсөл эрсдэлтэй байна. Эдгээр төслүүдийн дунд Космос, Binance Smart Chain, OKX, болон Кава.
BNB Chain дүгнэлтийн талаар мэдээлэл хийлээ
гэж томилогдсон хоёр дахь олон нийтийн зөвлөгөө VSA-2022-101, мөн Verichains From Nil to Spoof-ээс гаргасан байна – Олон эмзэг байдлаас үүдэлтэй Critical IAVL Spoofing Attack.
Үүнийг "Хариуцлагатай эмзэг байдлыг ил тод болгох" санаачилгын хүрээнд хийсэн. Tendermint дээр бүтээгдсэн Cosmos Hub болон бусад бүх блокчэйн нь Tendermint Core хэмээх зөвшилцлийн хөдөлгүүрээр ажилладаг.
Verichains-ийн хариуцлагатай эмзэг байдлын ил тод байдлын бодлогын дагуу тус компани эмзэг байдлыг олон нийтэд ил болгохоос өмнө 120 хоног хүлээсэн. Гэмтлийн ноцтой байдлаас шалтгаалан цаашдын гүүрийг хакердаж, улмаар хэдэн зуун сая, магадгүй тэрбум доллараар хэмжигдэх нэмэлт төлбөр алдагдах магадлалтай.
Үүний үр дүнд Verichains нь Tendermint-ийн IAVL баталгаажуулалтад тулгуурласан аливаа эмзэг Web3 төслүүдэд аюулгүй байдлын шинэчлэлийг яаралтай хэрэгжүүлэхийг зөвлөж байна.
Нэгэнт илрүүлсний дараа Verichains-ийн баг илрүүлсэн сул тал болон аюулгүй байдлын цоорхойг компанийн сайтаар дамжуулан олон нийтэд шуурхай мэдээлдэг.
Эх сурвалж: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/