कई महत्वपूर्ण कमजोरियों को खोजने के बाद, प्रमुख ब्लॉकचेन सुरक्षा कंपनी वेरीचैन्स ने अपनी संपत्ति की सुरक्षा और शोषण के जोखिम को कम करने के लिए टेंडरमिंट के IAVL प्रूफ सत्यापन को नियोजित करने वाली कंपनियों की सिफारिश की।
एक प्रसिद्ध BFT सर्वसम्मति इंजन, टेंडरमिंट कोर पर IAVL प्रूफ में एक महत्वपूर्ण खाली मर्कल ट्री भेद्यता का खुलासा वेरीचेन्स द्वारा एक सार्वजनिक सलाहकार शीर्षक में अपने जिम्मेदार भेद्यता प्रकटीकरण कार्यक्रम के हिस्से के रूप में किया गया है। वीएसए-2022-100. कॉसमॉस हब और अन्य टेंडरमिंट-आधारित ब्लॉकचेन, टेंडरमिंट कोर सर्वसम्मति इंजन द्वारा संचालित हैं।
वेरीचैन्स की ओर से दूसरी सार्वजनिक सलाह इस रूप में प्रकाशित की गई है वीएसए-2022-101. कई कमजोरियों के माध्यम से महत्वपूर्ण IAVL स्पूफिंग अटैक: शून्य से स्पूफ तक।
बीएनबी चैन ब्रिज हमले के बाद, वेरिचेन्स ने पिछले साल अक्टूबर में काम करते हुए इस खोज की खोज की। सुरक्षा विशेषज्ञों का दावा है कि गंभीर IAVL स्पूफिंग अटैक के परिणामस्वरूप एक महत्वपूर्ण राशि का नुकसान हो सकता है, जिसे BNB चेन और टेंडरमिंट में खोजी गई कई खामियों के माध्यम से खोजा गया था।
एक स्थापित कार्य संबंध के कारण, बीएनबी चेन को अक्टूबर में इन परिणामों के बारे में सूचित किया गया और समस्या को तुरंत ठीक किया गया।
टेंडरमिंट/कॉसमॉस मेंटेनर को उसी समय एक गोपनीय प्रकटीकरण प्राप्त हुआ, और उन्होंने खामियों को पहचाना। फिर भी, जैसा कि IBC और Cosmos-SDK कार्यान्वयन पहले ही IAVL मर्कल प्रूफ सत्यापन से ICS-23 में बदल चुका था, टेंडरमिंट लाइब्रेरी के लिए एक फिक्स उपलब्ध नहीं कराया गया था। कॉसमॉस, बिनेंस स्मार्ट चेन, ओकेएक्स और कावा सहित कई परियोजनाएं अब खतरे में हैं।
120 दिनों के बाद, Verichains ने अपनी जिम्मेदार भेद्यता प्रकटीकरण नीति के अनुसार जनता को सूचित किया है। बग की महत्वपूर्ण प्रकृति के कारण, अधिक ब्रिज हैकिंग और आगामी धन हानि, कुछ स्थितियों में, लाखों या अरबों डॉलर खर्च कर सकती है।
Web3 प्रोजेक्ट्स जो अभी भी टेंडरमिंट के IAVL प्रूफ वेरिफिकेशन का उपयोग कर रहे हैं, वेरीचेन्स द्वारा उनकी सुरक्षा बढ़ाने के लिए चेतावनी दी गई है।
Verichains टीम नियमित रूप से संगठन की वेबसाइट पर जांच और परीक्षण के माध्यम से पाई गई सुरक्षा खामियों और कमजोरियों को प्रकाशित करती है।
स्रोत: https://thenewscrypto.com/verichains-calls-for-action-after-revealing-blockchain-security-vulnerabilities/