Verichains cảnh báo lỗ hổng nghiêm trọng của thư viện Tendermint

Thành Luân
Thành Luân
07/03/2023 11:21 GMT+7

Công ty bảo mật blockchain hàng đầu Verichains đã kêu gọi các dự án sử dụng thư viện xác minh chứng thực IAVL của Tendermint có hành động phù hợp để bảo vệ tài sản của họ và giảm thiểu rủi ro bị khai thác sau khi phát hiện một số lỗ hổng.

Nhằm thực hiện Chính sách Công bố lỗi bảo mật có trách nhiệm của mình, Verichains đã phát hành khuyến cáo bảo mật số VSA-2022-100, chia sẻ về một lỗi bảo mật trong thuật toán xử lý Merkle Tree cấp độ nguy hiểm và VSA-2022-101, nói về việc tấn công làm giả IAVL qua nhiều lỗi bảo mật cấp độ nguy hiểm trên Tendermint Core và BNB Chain (CVE-2023-27575).

Cơ chế đồng thuận Tendermint BFT và Cosmos-SDK là hai nền tảng blockchain được sử dụng bởi nhiều dự án nổi tiếng như BNB Smart Chain (BSC), OKX Chain, Band Chain và dự án nhiều tai tiếng Terra (LUNA).

Verichains cảnh báo lỗ hổng nghiêm trọng của thư viện Tendermint  - Ảnh 1.

Verichains vừa đưa ra cảnh báo về một lỗi bảo mật trong blockchain

AFP

Verichains đã phát hiện ra lỗ hổng này vào tháng 10 năm ngoái trong khi hỗ trợ Binance khắc phục sự cố tấn công cầu nối BNB Chain. Các chuyên gia bảo mật tham gia phân tích cuộc tấn công thông qua làm giả chứng thực IAVL nói trên, cho rằng lỗ hổng này có thể dẫn đến mất mát tài chính đáng kể nếu được khai thác.

Một thông báo bảo mật riêng tương tự cũng đã được gửi đến đội phát triển Tendermint/Cosmos và các lỗ hổng đã được xác nhận, tuy nhiên, một bản vá không được phát hành cho thư viện Tendermint vì thư viện IBC và Cosmos-SDK đã chuyển sang sử dụng xác minh chứng thư ICS-23 từ IAVL Merkle trước đó.

Tuy nhiên, do sự phổ biến của Tendermint và số lượng tài sản lớn được cất giữ bởi các dự án, chúng ta có thể khẳng định nguy cơ ảnh hưởng lớn. Ví dụ, vào tháng 10 năm ngoái, Cầu nối BNB Chain đã bị khai thác để phát hành trái phép 2 triệu BNB, trị giá khoảng 566 triệu USD, do một lỗ hổng trong xác minh Proof Range của IAVL trong mã code.

Đội ngũ BNB Chains cũng đã được thông báo về các kết quả này bởi Verichains vào tháng 10 song song với mối quan hệ đối tác có sẵn, và sự cố đã được khắc phục trong ngày. Không còn đợt tấn công cũng như mất mát xảy ra sau đó.

Verichains đã tuân thủ Chính sách Công bố lỗi bảo mật có trách nhiệm và thông báo cho công chúng sau 120 ngày. Verichains đã kêu gọi các dự án Web3 đang sử dụng xác minh chứng thực IAVL của Tendermint, nâng cấp bảo mật để phòng tránh những sự mất mát đáng tiếc.

Năm vừa rồi, hàng loạt cầu nối blockchain đã bị tấn công sau khi hacker xác định và khai thác các điểm yếu. Nếu không được khắc phục, cấp độ nguy hiểm của những lỗi này có thể dẫn đến các cuộc tấn công tiếp theo và sự mất mát tiền tệ tương ứng, trong một số trường hợp có thể dẫn đến hàng triệu hoặc thậm chí là hàng tỉ USD.

Được biết, Verichains là một công ty bảo mật blockchain hàng đầu chuyên về đánh giá bảo mật, đào tạo, phát triển công cụ phân tích bảo mật tự động và phân tích ngược phần mềm. Được thành lập vào năm 2017, công ty sử dụng kiến thức chuyên sâu về bảo mật, mật mã học và công nghệ lõi blockchain, giúp điều tra và khắc phục các vấn đề bảo mật trong một số cuộc tấn công tiền điện tử toàn cầu lớn, bao gồm Cầu nối BNB và Cầu nối Ronin.

Top

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.