бир нече маанилүү аялуу табылгандан кийин, өнөр жайдын алдыңкы blockchain коопсуздук компаниясы Verichains, алардын активдерин коргоо жана эксплуатациялануу ыктымалдыгын азайтуу үчүн чараларды көрүү үчүн Tendermint's IAVL далил текшерүүсүн колдонгон долбоорлорду сунуштады.
Verichains коомдук кеңеш берди, VSA-2022-100, 8-мартта Финболд менен бөлүшүлгөн маалыматка ылайык, белгилүү BFT консенсус кыймылдаткычы болгон Tendermint Core боюнча IAVL далилиндеги Boş Merkle Tree олуттуу аялуулугу жөнүндө.
Өткөн жылдын октябрь айында Verichains бул табылганы BNB Chain көпүрөсүнүн бузулушунан кийин иштеп жатышканда тапкан. Олуттуу IAVL Spoofing Attack алсыз жактарын издеп жүргөн коопсуздук адистери тарабынан табылган BNB Chain жана Tendermint. Алар көптөгөн кемчиликтердин бетин ачышты, бул аларды чабуул каражаттын чоң жоготууга алып келиши мүмкүн деген тыянакка келишти. Мурда түзүлгөн жумушчу өнөктөштүктөн улам, BNB Chain бул жыйынтыктар жөнүндө октябрда кабардар болгон жана дароо оңдоолорду киргизген.
Баары бир эле учурда, Tendermint/Cosmos тейлөөчүсүнө кемчиликтер жөнүндө жеке маалымат берилди жана алар таанылды. Бирок Tendermint китепканасы оңдоого ээ болгон жок, анткени IBC жана Cosmos-SDK ишке ашыруу IAVL Merkle далил текшерүүсүнөн ICS-23кө өткөн. Учурда бир нече долбоорлор коркунуч алдында турат. Бул долбоорлордун арасында Космос, Binance Smart Chain, OKX, жана káva.
BNB Chain жыйынтыктар тууралуу билдирди
катары дайындалган экинчи коомдук кеңеш VSA-2022-101, ошондой эле Verichains тарабынан Nil From Spoof - Critical IAVL Spoofing Attack аркылуу бир нече аялуу аркылуу чыгарылган.
Бул анын жоопкерчиликтүү аялууларды ачыкка чыгаруу демилгесинин алкагында жасалды. Cosmos Hub жана Tendermintте курулган бардык башка блокчейндер Tendermint Core деп аталган консенсус кыймылдаткычы менен иштейт.
Verichains'тин жооптуу аялуулугун ачыкка чыгаруу саясатына ылайык, компания алсыздыкты коомчулукка жарыялоодон мурун 120 күн күткөн. Мүчүлүштүктүн катаалдыгынан улам, мындан аркы көпүрөлөр бузулушу мүмкүн, натыйжада кошумча жоголгон төлөмдөр жүздөгөн миллиондогон же балким миллиард долларды түзүшү мүмкүн.
Натыйжада, Verichains Tendermint'тин IAVL-далил текшерүүсүнө таянган ар кандай аялуу Web3 долбоорлорун дароо коопсуздук жаңыртууларын ишке ашырууну сунуштады.
Табылгандан кийин, Verichains командасы компаниянын сайты аркылуу коомчулукка тапкан аялуу жерлерин жана коопсуздук тешиктерин дароо ачып берет.
Булак: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/