Verichains 是一家领先的区块链安全公司,在发现几个重大漏洞后,敦促使用 Tendermint 的 IAVL 证明验证的项目保护其资产并降低利用风险。根据其调查结果,该漏洞影响了 Cosmos、币安智能链、OKX、Kava 等。
作为其负责任的漏洞披露的一部分,Verichains 发布了一个公共咨询 VSA-2022-100,涉及流行的 BFT 共识引擎 Tendermint Core 上 IAVL 证明中的一个关键空默克尔树漏洞。 Tendermint Core 是为 Cosmos Hub 和其他基于 Tendermint 的区块链提供支持的共识引擎。
Verichains 发布了第二个公共咨询,VSA-2022-101 从零到欺骗——通过多个漏洞进行严重的 IAVL 欺骗攻击。
Verichains 在去年 10 月 BNB Chain 桥被黑客攻击后工作时发现了这一点。安全专家通过在 BNB Chain 和 Tendermint 中发现的多个漏洞识别出严重的 IAVL 欺骗攻击,并表示这可能导致大量资金损失。
由于现有的工作关系,BNB Chain 在 10 月份收到了这些发现的通知,并迅速修复了该问题。
同时向 Tendermint/Cosmos 维护者进行了私下披露,他们承认了这些漏洞。但是,由于 IBC 和 Cosmos-SDK 实现已经从 IAVL Merkle 证明验证迁移到 ICS-23,因此 Tendermint 库没有发布补丁。目前,有几个项目处于风险之中,包括 Cosmos、币安智能链、OKX 和 Kava。
Verichains 已遵循其负责任的漏洞披露政策,在 120 天后通知公众。该错误的严重性质可能会导致进一步的桥接黑客攻击和随之而来的资金损失,在某些情况下可能会导致数百万甚至数十亿美元的损失。
Verichains 已敦促受影响的 Web3 项目仍使用 Tendermint 的 IAVL 证明验证来升级其安全性。 Verichains 团队定期在公司网站上发布研究和测试期间发现的安全缺陷和漏洞。
Verichains 成立于 2017 年,是一家领先的区块链安全公司,专注于代码审计、培训、自动化安全分析工具开发和逆向工程软件。该公司利用广泛的安全、密码学和核心区块链技术专业知识。它帮助调查和修复了全球主要加密货币黑客攻击的安全问题,包括 BNB Bridge 和 Ronin Bridge。 Verichains 还拥有 200 多个客户和 500 亿美元的资产受到保护。
声明:本站原创文章文字版权归前途科技所有,转载务必注明作者和出处;本站转载文章仅仅代表原作者观点,不代表前途科技立场,图文版权归原作者所有。如有侵权,请联系我们删除。
