Verichains hat Projekten, die die IAVL-Beweisprüfung von Tendermint verwenden, empfohlen, Maßnahmen zum Schutz ihrer Vermögenswerte zu ergreifen und die Wahrscheinlichkeit zu verringern, dass sie ausgenutzt werden. Verichains hat auch davor gewarnt, dass Projekte, die andere Blockchain-Sicherheitslösungen verwenden, ebenfalls gefährdet sein könnten.
Ein zweiter öffentlicher Hinweis, bezeichnet als VSA-2022-101, wurde von Verichains von Nil to Spoof – a Critical IAVL Spoofing Attack via Multiple Vulnerabilities herausgegeben.
Im Oktober entdeckte Verichains diese Schwachstelle, als das Unternehmen an den Folgen des BNB Chain Bridge Breach arbeitete. Der schwerwiegende IAVL-Spoofing-Angriff wurde von Sicherheitsexperten entdeckt, die nach Schwachstellen in BNB Chain und Tendermint suchten. Sie entdeckten viele Schwachstellen, die sie zu dem Schluss brachten, dass der Angriff zu einem großen Verlust von Geldern geführt haben könnte. BNB Chain wurde im Oktober über diese Ergebnisse informiert und setzte sofort eine Korrektur ein.
Der Tendermint/Cosmos-Maintainer wurde privat über die Schwachstellen in der Tendermint-Bibliothek und der Cosmos-SDK-Implementierung informiert. Die IBC- und Cosmos-SDK-Implementierung war jedoch bereits von der IAVL-Merkle-Beweisprüfung auf ICS-23 umgestiegen, so dass Cosmos und andere Projekte gefährdet sind.
Milliarden von Dollar könnten in Gefahr sein
Gemäß Verichains Politik zur verantwortungsvollen Offenlegung von Sicherheitslücken wartete das Unternehmen 120 Tage, bevor es die Sicherheitslücke öffentlich machte. Diese Verzögerung hätte dazu führen können, dass weitere Brücken gehackt worden wären, was zu zusätzlichen Zahlungsausfällen in Höhe von Hunderten von Millionen oder vielleicht sogar Milliarden Dollar geführt hätte.
Verichains hat empfohlen, dass alle anfälligen Web3-Projekte, die sich auf die IAVL-sichere Verifizierung von Tendermint verlassen, sofort Sicherheitsupgrades durchführen sollten. Nach der Entdeckung gibt das Verichains-Team die gefundenen Schwachstellen und Sicherheitslücken umgehend über die Website des Unternehmens öffentlich bekannt.
Zu den anderen Blockchain-Projekten, die auf der Tendermint-Konsens-Engine aufbauen, gehört der Cosmos Hub, der auf dem Tendermint Core basiert.