- Verichains a identifié plusieurs vulnérabilités importantes sur Tendermint Core
- Il est conseillé aux projets utilisant la vérification de preuve IAVL dans Tendermint Core de sécuriser leurs actifs pour atténuer l’exploitation.
- De nombreux projets populaires, dont BNB Smart Chain (BSC), sont construits sur Tendermint
La principale société de sécurité blockchain Verichains a identifié plusieurs vulnérabilités importantes dans Tendermint Core et, dans le cadre de sa politique de divulgation responsable des vulnérabilités, a publié deux avis publics.
Le premier avis intitulé VSA-2022-100 traite d’une vulnérabilité critique de Empty Merkle Tree dans la preuve IAVL. Le deuxième avis est intitulé VSA-2022-101 et traite d’une attaque d’usurpation IAVL critique via plusieurs vulnérabilités sur Tendermint Core.
Verichain conseille aux projets utilisant la vérification à l’épreuve de l’IAVL dans Tendermint Core de sécuriser leurs actifs pour atténuer les risques d’exploitation.
Lié au récent piratage du pont BNB Chain
Le moteur de consensus Tendermint BFT et Cosmos SDK sont des plates-formes de blockchain populaires utilisées par plusieurs projets de blockchain populaires, notamment Terra (LUNA), Band Chain, OKX Chain et BNB Smart Chain (BSC).
Verichains a indiqué avoir découvert les vulnérabilités de Tendermint Core alors qu’il travaillait sur le piratage du pont BNB Chain qui a eu lieu en octobre de l’année dernière. Les spécialistes de la sécurité, qui ont identifié l’attaque IAVL Spoofing critique via de multiples vulnérabilités trouvées dans BNB Chain et Tendermint, disent que cela aurait pu entraîner une perte de fonds importante.
Cependant, bien que les vulnérabilités aient été divulguées au mainteneur de Tendermint/Cosmos, aucun correctif n’a été publié pour la bibliothèque Tendermint Core depuis que Cosmos-SDK et IBC ont migré de la vérification de preuve IAVL Merkle vers ICS-23.
Politique de divulgation des vulnérabilités responsables de Verichains
Verichains a suivi sa politique de divulgation responsable des vulnérabilités pour informer le public après les 120 jours requis. S’ils ne sont pas corrigés, la nature critique des bogues peut entraîner d’autres piratages et la perte de fonds qui en résulte, ce qui, dans certains cas, pourrait entraîner la perte de millions, voire de milliards de dollars.
Verichains publie régulièrement les failles de sécurité et les vulnérabilités qu’il identifie sur son site Web pour la consommation publique.