Après avoir découvert plusieurs vulnérabilités critiques, Verichains, leader de la sécurité blockchain, a recommandé aux entreprises d'utiliser la vérification de preuve IAVL de Tendermint pour protéger leurs actifs et réduire les risques d'exploitation.
Une vulnérabilité importante de l'arbre Merkle vide dans la preuve IAVL sur Tendermint Core, un moteur de consensus BFT bien connu, a été divulguée par Verichains dans le cadre de son programme de divulgation responsable des vulnérabilités dans un avis public intitulé VSA-2022-100. Le Cosmos Hub et d'autres chaînes de blocs basées sur Tendermint sont alimentés par le moteur de consensus Tendermint Core.
Un deuxième avis public de Verichains est publié en tant que VSA-2022-101. Crucial IAVL Spoofing Attack à travers plusieurs vulnérabilités : de zéro à falsification.
Au lendemain de l'attaque du pont BNB Chain, Verichains a découvert cette découverte alors qu'il travaillait en octobre de l'année dernière. Les experts en sécurité affirment qu'une quantité importante de fonds aurait pu être perdue à la suite de la grave attaque par usurpation d'IAVL, qui a été découverte grâce à plusieurs failles découvertes dans BNB Chain et Tendermint.
Grâce à une relation de travail établie, BNB Chain a été informé de ces résultats en octobre et a rapidement résolu le problème.
Le mainteneur de Tendermint/Cosmos a reçu une divulgation confidentielle en même temps, et ils ont reconnu les défauts. Néanmoins, comme l'implémentation IBC et Cosmos-SDK était déjà passée de la vérification de preuve IAVL Merkle à ICS-23, aucun correctif n'a été mis à disposition pour la bibliothèque Tendermint. Plusieurs projets sont désormais en danger, notamment Cosmos, Binance Smart Chain, OKX et Kava.
Après 120 jours, Verichains a informé le public conformément à sa politique de divulgation responsable des vulnérabilités. En raison de la nature cruciale du bogue, davantage de piratage de ponts et les pertes de fonds qui en résultent pourraient, dans certaines situations, coûter des millions, voire des milliards de dollars.
Les projets Web3 qui utilisent encore la vérification de preuve IAVL de Tendermint ont été avertis par Verichains d'améliorer leur sécurité.
Sur une base régulière, l'équipe de Verichains publie les failles de sécurité et les vulnérabilités découvertes lors d'enquêtes et de tests sur le site Web de l'organisation.
Source : https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/