Después del descubrimiento de múltiples vulnerabilidades críticas, la empresa de seguridad blockchain líder en la industria, Verichains, recomendó proyectos que utilicen la verificación de prueba IAVL de Tendermint para tomar medidas para proteger sus activos y reducir la probabilidad de ser explotados.
Verichains ha proporcionado un aviso público, VSA-2022-100sobre una importante vulnerabilidad de Empty Merkle Tree en la prueba de IAVL en Tendermint Core, un destacado motor de consenso de BFT, según la información compartida con Finbold el 8 de marzo.
En octubre del año pasado, Verichains descubrió este hallazgo cuando estaban trabajando después de la ruptura del puente BNB Chain. El grave ataque de suplantación de identidad de IAVL fue descubierto por profesionales de seguridad que buscaban debilidades en BNB Chain y Tendermint. Descubrieron muchas fallas, lo que los llevó a la conclusión de que el ataque podría haber provocado una gran pérdida de fondos. Debido a una asociación de trabajo preexistente, BNB Chain fue informado de estos resultados en octubre e inmediatamente implementó una solución.
De repente, el mantenedor de Tendermint/Cosmos fue informado en privado de las fallas y fueron reconocidas. Sin embargo, la biblioteca Tendermint no obtuvo una solución ya que la implementación de IBC y Cosmos-SDK ya había cambiado a ICS-23 desde la verificación de prueba de IAVL Merkle. En este momento, varios proyectos están en riesgo. Entre estos proyectos se incluyen Cosmos, Binance Smart Chain, OKX y Kava.
Cadena BNB informada de hallazgos
Un segundo aviso público, designado como VSA-2022-101también ha sido emitido por Verichains From Nil to Spoof – Critical IAVL Spoofing Attack via Multiple Vulnerability.
Esto se hizo como parte de su iniciativa de Divulgación Responsable de Vulnerabilidad. Cosmos Hub y todas las demás cadenas de bloques que se basan en Tendermint funcionan con un motor de consenso llamado Tendermint Core.
De acuerdo con la Política de divulgación responsable de vulnerabilidades de Verichains, la empresa esperó 120 días antes de hacer pública la vulnerabilidad. Debido a la gravedad de la falla, es posible que se pirateen más puentes, lo que resultará en pagos perdidos adicionales, que podrían ascender a cientos de millones, o quizás miles de millones, de dólares.
Como resultado, Verichains ha recomendado que cualquier proyecto Web3 vulnerable que dependa de la verificación a prueba de IAVL de Tendermint implemente actualizaciones de seguridad inmediatas.
Una vez descubiertos, el equipo de Verichains revela rápidamente al público las vulnerabilidades y los agujeros de seguridad que ha encontrado a través del sitio de la empresa.
