Setelah penemuan beberapa kerentanan kritis, industri terkemuka blockchain perusahaan keamanan Verichains telah merekomendasikan proyek yang menggunakan verifikasi bukti IAVL Tendermint untuk mengambil tindakan guna melindungi aset mereka dan mengurangi kemungkinan dieksploitasi.
Verichains telah memberikan nasihat publik, VSA-2022-100, tentang kerentanan Empty Merkle Tree yang signifikan dalam bukti IAVL di Tendermint Core, mesin konsensus BFT terkemuka, menurut informasi yang dibagikan dengan Finbold pada 8 Maret.
Pada bulan Oktober tahun lalu, Verichains menemukan temuan ini ketika mereka bekerja setelah jembatan BNB Chain dilanggar. Serangan Spoofing IAVL yang serius ditemukan oleh profesional keamanan yang mencari kelemahan di Rantai BNB dan Tendermint. Mereka menemukan banyak kekurangan, yang membawa mereka pada kesimpulan bahwa serangan itu mungkin telah menyebabkan hilangnya dana yang besar. Karena kemitraan kerja yang sudah ada sebelumnya, BNB Chain diberitahu tentang hasil ini pada bulan Oktober dan segera melakukan perbaikan.
Tiba-tiba, pengelola Tendermint/Cosmos secara pribadi diberi tahu tentang kekurangannya, dan mereka dikenali. Pustaka Tendermint, bagaimanapun, tidak mendapatkan perbaikan karena implementasi IBC dan Cosmos-SDK telah beralih ke ICS-23 dari verifikasi bukti IAVL Merkle. Saat ini, beberapa proyek berisiko. Di antara proyek-proyek ini termasuk kosmos, Binance Smart Chain, OKX, dan Kava.
BNB Chain menginformasikan temuan
Penasihat publik kedua, ditunjuk sebagai VSA-2022-101, juga telah dikeluarkan oleh Verichains From Nil to Spoof – Serangan Spoofing IAVL Kritis melalui Berbagai Kerentanan.
Ini dilakukan sebagai bagian dari inisiatif Pengungkapan Kerentanan yang Bertanggung Jawab. Cosmos Hub dan semua blockchain lain yang dibangun di atas Tendermint ditenagai oleh mesin konsensus yang disebut Tendermint Core.
Menurut Kebijakan Pengungkapan Kerentanan yang Bertanggung Jawab dari Verichains, perusahaan menunggu 120 hari sebelum mempublikasikan kerentanan tersebut. Karena parahnya cacat, ada kemungkinan bahwa jembatan lebih lanjut dapat diretas, mengakibatkan pembayaran tambahan yang hilang, yang mungkin berjumlah ratusan juta, atau mungkin miliaran dolar.
Akibatnya, Verichains merekomendasikan agar setiap proyek Web3 rentan yang mengandalkan verifikasi bukti IAVL Tendermint segera mengimplementasikan peningkatan keamanan.
Setelah ditemukan, tim Verichains segera mengungkapkan kerentanan dan celah keamanan yang ditemukannya kepada publik melalui situs perusahaan.
Sumber: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/