Verichains onthult kritieke kwetsbaarheden in de blockchain-beveiliging

Verichains, een toonaangevend blockchain-beveiligingsbedrijf, heeft significant geïdentificeerd blockchain beveiligingsproblemen.

In een urgent openbaar advies voor projecten in het ecosysteem zei het Verichains-team dat de kwetsbaarheden verband houden met IAVL-bewijsverificatie en spoofing-aanvallen in Tendermint Core en Kosmos. De beveiligingsrisico's hebben met name betrekking op de kritieke Empty Merkle Tree-kwetsbaarheid en IAVL Spoofing Attack.

Bugs met betrekking tot de IAVL-bewijsverificatie van Tendermint

De openbare update maakt deel uit van het Responsible Vulnerability Disclosure Policy van het bedrijf en komt na de vereiste periode van 120 dagen.

Volgens Verichain zijn de geïdentificeerde kwetsbaarheden van een “kritisch karakter” en gebrek aan actie kunnen ertoe leiden dat hackers de bugs misbruiken om verdere schade aan te richten. Alle Web3-projecten die nog steeds de IAVL-bewijsverificatie op Tendermint uitvoeren, moeten snel gaan om activa veilig te stellen en potentiële exploitatierisico's te beperken.

Volgens het platform werden de risico's ontdekt in oktober 2022 toen het team op zoek ging naar kwetsbaarheden na een hack op een BNB Chain-brug. Het oordeel van beveiligingsspecialisten was dat de kritieke IAVL Spoofing Attack meerdere kwetsbaarheden suggereerde in zowel BNB Chain als Tendermint. Het ecosysteem had kunnen worden blootgesteld aan "een aanzienlijk verlies aan fondsen", merkten de experts op.

Terwijl er afgelopen oktober een patch werd gemaakt op de BNB Chain, gebeurde hetzelfde niet met de Tendermint/Cosmos-onderhouder. Een patch voor de Tendermint Core-bibliotheek gebeurde niet omdat de Cosmos SDK en IBC waren gemigreerd van de IAVL Merkle proof-verificatie naar ICS-23.

De blockchain-ruimte heeft talloze inbreuken op bruggen gezien, waarbij voor miljoenen dollars aan digitale activa zijn gestolen. Dienovereenkomstig merken Verichain-specialisten op dat projecten de omvang van mogelijke inbreuken niet mogen onderschatten, gezien de exploit waarbij de Cross-Chain Bridge van BNB Chain werd aangevallen met een waarde van 2 miljoen BNB ter waarde van meer dan $ 566 miljoen illegaal uitgegeven.