נאָך די ופדעקונג פון קייפל קריטיש וואַלנעראַביליטיז, די אינדוסטריע-לידינג בלאָקקטשאַין זיכערהייט פירמע Verichains האט רעקאַמענדיד פּראַדזשעקס ניצן Tendermint ס IAVL דערווייַז וועראַפאַקיישאַן צו נעמען מיטלען צו באַשיצן זייער אַסעץ און רעדוצירן די ליקעליהאָאָד פון עקספּלויטאַד.
Verichains האט צוגעשטעלט אַ עפנטלעך אַדווייזערי, VSA-2022-100, וועגן אַ באַטייטיק עמפּטי מערקלע טרי וואַלנעראַביליטי אין די IAVL דערווייַז אויף טענדערמינט קאָר, אַ באַוווסט BFT קאָנסענסוס מאָטאָר, לויט די אינפֿאָרמאַציע שערד מיט Finbold אויף 8 מער.
אין אקטאבער פון לעצטע יאָר, Verichains דיסקאַווערד דעם דערגייונג ווען זיי זענען ארבעטן אין די אַפטערמאַט פון די BNB קייט בריק בריטש. די ערנסט IAVL Spoofing Attack איז דיסקאַווערד דורך זיכערהייט פּראָפעססיאָנאַלס וואָס זוכן וויקנאַסאַז אין BNB קייט און טענדערמינט. זיי האבן אנטדעקט אסאך חסרונות, וואס האבן זיי געפירט צו דער אויספיר אז די אטאקע האט מעגליך געפירט צו א גרויסע פארלוסט פון געלטער. רעכט צו אַ פריערדיקן ארבעטן שוטפעס, BNB Chain איז געווען ינפאָרמד וועגן די רעזולטאַטן אין אקטאבער און גלייך דיפּלויד אַ פאַרריכטן.
גלײכצײטי ק הא ט מע ן דע ר טענדערמינ ט / קאסמוס־מאכטע ר ב ײ ד י פעלער ן באװיז ן אי ן ד י פעלער , או ן ז ײ האב ן זי ך דערקענט . Tendermint ביבליאָטעק, אָבער, האט נישט באַקומען אַ פאַרריכטן זינט די ימפּלאַמענטיישאַן פון IBC און Cosmos-SDK האט שוין סוויטשט צו ICS-23 פֿון IAVL Merkle דערווייַז וועראַפאַקיישאַן. אין דעם מאָמענט, עטלעכע פּראַדזשעקס זענען אין ריזיקירן. צווישן די פראיעקטן אַרייַננעמען קאָסמאָס, Binance Smart Chain, OKX, און קאַוואַ.
BNB קייט ינפאָרמד וועגן פיינדינגז
א צווייטע ציבור אַדווייזערי, דעזיגנייטיד ווי VSA-2022-101, איז אויך ארויס דורך וועריטשאַינס פֿון נייל צו ספּאָף - קריטיש IAVL ספּאָאָפינג אַטאַק דורך קייפל וואַלנעראַביליטיז.
דאָס איז געשען ווי אַ טייל פון זיין פאַראַנטוואָרטלעך וואַלנעראַביליטי אַנטפּלעקונג איניציאטיוו. די קאָסמאָס הוב און אַלע אנדערע בלאַקשאַינס וואָס זענען געבויט אויף טענדערמינט זענען פּאַוערד דורך אַ קאָנסענסוס מאָטאָר גערופן טענדערמינט קאָר.
לויט Verichains 'פאַראַנטוואָרטלעך וואַלנעראַביליטי אַנטפּלעקונג פּאָליטיק, די פירמע געווארט 120 טעג איידער מאכן די וואַלנעראַביליטי עפנטלעך. צוליב דער שטרענגקייט פון דעם פעלער איז מעגליך אז נאך בריקן זאלן ווערן געכאפט, וואס ברענגט צו נאך פארלוירענע צאלונגען, וואס זאלן באמערקן הונדערטער מיליאנען, אדער אפשר ביליאן דאלער.
ווי אַ רעזולטאַט, Verichains האט רעקאַמענדיד אַז קיין שפּירעוודיק וועב3 פראיעקטן וואָס פאַרלאָזנ זיך די IAVL-דערווייַז וועראַפאַקיישאַן פון Tendermint ינסטרומענט גלייך זיכערהייט אַפּגריידז.
אַמאָל דיסקאַווערד, די Verichains מאַנשאַפֿט גלייך דיסקלאָוזיז די וואַלנעראַביליטיז און זיכערהייט האָלעס עס האט געפֿונען צו דעם ציבור דורך די פירמע 'ס פּלאַץ.
מקור: https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/