in

Verichains emite avisos de seguridad sobre vulnerabilidades de seguridad en Tendermint Core

Verichains emite avisos de seguridad sobre vulnerabilidades de seguridad en Tendermint Core

  • Verichains ha identificado varias vulnerabilidades importantes en Tendermint Core
  • Se recomienda a los proyectos que utilizan la verificación de prueba IAVL en Tendermint Core que aseguren sus activos para mitigar la explotación.
  • Muchos proyectos populares, incluido BNB Smart Chain (BSC), se basan en Tendermint

La empresa líder en seguridad de cadenas de bloques, Verichains, ha identificado varias vulnerabilidades importantes en Tendermint Core y, como parte de su Política de divulgación responsable de vulnerabilidades, ha publicado dos avisos públicos.

El primer aviso titulado VSA-2022-100 analiza una vulnerabilidad crítica de Empty Merkle Tree en la prueba de IAVL. El segundo aviso se titula VSA-2022-101 y analiza un ataque de suplantación de identidad crítico de IAVL a través de múltiples vulnerabilidades en Tendermint Core.

Verichain informa que los proyectos que utilizan la verificación a prueba de IAVL en Tendermint Core deben proteger sus activos para mitigar los riesgos de explotación.

Vinculado al reciente pirateo del puente BNB Chain

Motor de consenso Tendermint BFT y Cosmos SDK son plataformas de cadena de bloques populares que utilizan varios proyectos de cadena de bloques populares, incluidos Terra (LUNA), Band Chain, OKX Chain y BNB Smart Chain (BSC), ahora desaparecidos.

Verichains indicó que descubrió las vulnerabilidades de Tendermint Core mientras trabajaba en el Truco del puente de cadena BNB que tuvo lugar en octubre del año pasado. Los especialistas en seguridad, que identificaron el crítico IAVL Spoofing Attack a través de múltiples vulnerabilidades encontradas en BNB Chain y Tendermint, dicen que podría haber resultado en una pérdida significativa de fondos.

Sin embargo, aunque las vulnerabilidades fueron reveladas al mantenedor de Tendermint/Cosmos, no se lanzó ningún parche para la biblioteca Tendermint Core ya que Cosmos-SDK e IBC habían migrado de la verificación de prueba IAVL Merkle a ICS-23.

Política de divulgación de vulnerabilidad responsable de Verichains

Verichains siguió su Política de divulgación de vulnerabilidad responsable para notificar al público después de los 120 días requeridos. Si no se soluciona, la naturaleza crítica de los errores puede conducir a más ataques y la consiguiente pérdida de fondos, lo que en algunos casos podría resultar en pérdidas de millones o incluso miles de millones de dólares.

Verichains publica regularmente las fallas y vulnerabilidades de seguridad que identifica en su sitio web para consumo público.

Fuente

Written by notimundo

Una plataforma de vapor más potente está a años de distancia, dice Valve

Una plataforma de vapor más potente está a años de distancia, dice Valve

El gran Lebowski sigue siendo una gran comedia de todos los tiempos 25 años después

El gran Lebowski sigue siendo una gran comedia de todos los tiempos 25 años después