Después de encontrar múltiples vulnerabilidades críticas, la empresa líder en seguridad de blockchain, Verichains, recomendó a las empresas que emplearan la verificación de prueba IAVL de Tendermint para proteger sus activos y reducir los riesgos de explotación.
Verichains ha revelado una importante vulnerabilidad de Empty Merkle Tree en la prueba de IAVL en Tendermint Core, un conocido motor de consenso de BFT, como parte de su programa de Divulgación de vulnerabilidad responsable en un aviso público titulado VSA-2022-100. Cosmos Hub y otras cadenas de bloques basadas en Tendermint funcionan con el motor de consenso Tendermint Core.
Se publica un segundo aviso público de Verichains como VSA-2022-101. Ataque crucial de suplantación de identidad de IAVL a través de varias vulnerabilidades: de cero a suplantación de identidad.
Después del ataque al puente BNB Chain, Verichains descubrió este hallazgo mientras trabajaba en octubre del año pasado. Los expertos en seguridad afirman que una cantidad significativa de fondos podría haberse perdido como consecuencia del grave ataque de suplantación de identidad de IAVL, que se descubrió a través de varias fallas descubiertas en BNB Chain y Tendermint.
Debido a una relación de trabajo establecida, BNB Chain fue informado de estos resultados en octubre y solucionó el problema de inmediato.
El mantenedor de Tendermint/Cosmos recibió una divulgación confidencial al mismo tiempo y reconoció las fallas. Sin embargo, como la implementación de IBC y Cosmos-SDK ya había cambiado de la verificación de prueba IAVL Merkle a ICS-23, no se puso a disposición una solución para la biblioteca Tendermint. Varios proyectos ahora están en peligro, incluidos Cosmos, Binance Smart Chain, OKX y Kava.
Después de 120 días, Verichains notificó al público de acuerdo con su Política de divulgación responsable de vulnerabilidades. Debido a la naturaleza crucial del error, más piratería de puentes y las consiguientes pérdidas de fondos podrían, en ciertas situaciones, costar millones o incluso miles de millones de dólares.
Verichains ha advertido a los proyectos Web3 que aún utilizan la verificación de prueba IAVL de Tendermint que mejoren su seguridad.
De forma regular, el equipo de Verichains publica fallas de seguridad y vulnerabilidades encontradas a través de investigaciones y pruebas en el sitio web de la organización.
Fuente: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/