Բազմաթիվ կրիտիկական խոցելիությունների հայտնաբերումից հետո արդյունաբերության առաջատարը blockchain Անվտանգության Verichains ընկերությունը առաջարկել է նախագծեր, որոնք օգտագործում են Tendermint-ի IAVL-ի ապացուցված ստուգումը` միջոցներ ձեռնարկելու իրենց ակտիվները պաշտպանելու և շահագործման հավանականությունը նվազեցնելու համար:
Verichains-ը հանրային խորհուրդ է տվել, VSA-2022-100, դատարկ Մերկլի ծառի զգալի խոցելիության մասին IAVL ապացույցում Tendermint Core-ում, որը նշանավոր BFT կոնսենսուսային շարժիչ է, ըստ Finbold-ի հետ մարտի 8-ին տարածված տեղեկատվության:
Անցյալ տարվա հոկտեմբերին Verichains-ը հայտնաբերեց այս բացահայտումը, երբ նրանք աշխատում էին BNB Chain կամրջի ճեղքման հետևանքով: IAVL խարդախության լուրջ հարձակումը հայտնաբերվել է անվտանգության մասնագետների կողմից, ովքեր փնտրում էին թույլ կողմերը BNB շղթա եւ Tendermint. Նրանք բացահայտեցին բազմաթիվ թերություններ, ինչը նրանց հանգեցրեց այն եզրակացության, որ հարձակումը կարող էր հանգեցնել ֆինանսական միջոցների մեծ կորստի: Նախկինում գոյություն ունեցող աշխատանքային գործընկերության շնորհիվ BNB Chain-ը տեղեկացվել է այս արդյունքների մասին հոկտեմբերին և անմիջապես կիրառել է ուղղում:
Միանգամից Tendermint/Cosmos-ի սպասարկողը մասնավոր կերպով տեղեկացավ թերությունների մասին, և դրանք ճանաչվեցին: Tendermint գրադարանը, սակայն, ուղղում չստացավ, քանի որ IBC-ն և Cosmos-SDK-ն արդեն անցել էին ICS-23-ի IAVL Merkle-ի ապացույցի ստուգումից: Այս պահին մի քանի նախագծեր վտանգի տակ են։ Այդ նախագծերի թվում են Տիեզերք, Binance Smart Chain, OKX և Kava.
BNB Chain-ը հայտնել է բացահայտումների մասին
Երկրորդ հանրային խորհրդատվություն, որը նշանակված է որպես VSA-2022-101, թողարկվել է նաև Verichains From Nil to Spoof – Critical IAVL Spoofing Attack՝ բազմաթիվ խոցելիությունների միջոցով:
Սա արվել է որպես «Պատասխանատու խոցելիության բացահայտում» նախաձեռնության մաս: Cosmos Hub-ը և բոլոր մյուս բլոկչեյնները, որոնք կառուցված են Tendermint-ի վրա, աշխատում են կոնսենսուսային շարժիչով, որը կոչվում է Tendermint Core:
Համաձայն Verichains-ի պատասխանատու խոցելիության բացահայտման քաղաքականության՝ ընկերությունը սպասել է 120 օր՝ նախքան խոցելիությունը հրապարակելը: Թերության լրջության պատճառով հնարավոր է, որ հետագա կամուրջները կարող են կոտրվել, ինչը կհանգեցնի լրացուցիչ կորցրած վճարումների, որոնք կարող են կազմել հարյուրավոր միլիոններ կամ գուցե միլիարդավոր դոլարներ:
Արդյունքում, Verichains-ը խորհուրդ է տվել, որ ցանկացած խոցելի Web3 նախագիծ, որը հիմնված է Tendermint-ի IAVL-proof ստուգման վրա, իրականացնի անվտանգության անհապաղ բարելավումներ:
Հայտնաբերվելուց հետո Verichains թիմը անհապաղ բացահայտում է հասարակությանը ընկերության կայքի միջոցով իր հայտնաբերած խոցելիությունն ու անվտանգության անցքերը:
Աղբյուր՝ https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/