Verichains Menyerukan Tindakan Setelah Mengungkap Kerentanan Keamanan Blockchain

Setelah menemukan beberapa kerentanan kritis, perusahaan keamanan blockchain terkemuka Verichains merekomendasikan perusahaan yang menggunakan verifikasi bukti IAVL Tendermint untuk melindungi aset mereka dan mengurangi risiko eksploitasi.

Kerentanan Empty Merkle Tree yang signifikan dalam bukti IAVL pada Tendermint Core, mesin konsensus BFT yang terkenal, telah diungkapkan oleh Verichains sebagai bagian dari program Pengungkapan Kerentanan yang Bertanggung Jawab dalam penasehat publik berjudul VSA-2022-100. Cosmos Hub dan blockchain berbasis Tendermint lainnya didukung oleh mesin konsensus Tendermint Core.

Penasihat publik kedua dari Verichains diterbitkan sebagai VSA-2022-101. Serangan Spoofing IAVL Krusial melalui Beberapa Kerentanan: Dari Nil hingga Spoof.

Setelah serangan jembatan BNB Chain, Verichains menemukan temuan ini saat bekerja pada Oktober tahun lalu. Pakar keamanan mengklaim bahwa sejumlah besar dana mungkin hilang sebagai akibat dari Serangan Spoofing IAVL yang serius, yang ditemukan melalui beberapa kelemahan yang ditemukan di BNB Chain dan Tendermint.

Karena hubungan kerja yang terjalin, BNB Chain diberitahu tentang hasil ini pada bulan Oktober dan segera memperbaiki masalahnya.

Pengelola Tendermint/Cosmos menerima pengungkapan rahasia pada saat yang sama, dan mereka mengenali kekurangannya. Namun demikian, karena implementasi IBC dan Cosmos-SDK telah beralih dari verifikasi bukti IAVL Merkle ke ICS-23, perbaikan tidak tersedia untuk perpustakaan Tendermint. Beberapa proyek sekarang dalam bahaya, termasuk Cosmos, Binance Smart Chain, OKX, dan Kava.

Setelah 120 hari, Verichains telah memberi tahu publik sesuai dengan Kebijakan Pengungkapan Kerentanan yang Bertanggung Jawab. Karena sifat bug yang krusial, lebih banyak peretasan jembatan dan kerugian dana berikutnya mungkin, dalam situasi tertentu, menelan biaya jutaan atau bahkan miliaran dolar.

Proyek Web3 yang masih menggunakan verifikasi bukti IAVL Tendermint telah diperingatkan oleh Verichains untuk meningkatkan keamanannya.

Secara teratur, tim Verichains menerbitkan kelemahan dan kerentanan keamanan yang ditemukan melalui penyelidikan dan pengujian di situs web organisasi.