Verichains предупредила о критических уязвимостях в Tendermint Core

hack_c-min
hack_c-min

Специалисты Verichains обнаружили несколько критических уязвимостей в широко используемом механизме подтверждения консенсуса на базе АВЛ-дерева от протокола Tendermint Core. Об этом ForkLog сообщили представители компании.

В октябре 2022 года кроссчейн-мост BNB Chain подвергся взлому. В результате эксплойта злоумышленник несанкционированно выпустил токены на сумму свыше $544 млн. Хакер использовал ошибку в кодовой базе, которая представляет собственную итерацию решения от Tendermint.

В ходе анализа инцидента сотрудники Verichains обнаружили еще ряд проблем. По их словам, уязвимости позволяли провести спуфинг-атаку, которая могла привести к «значительной потере средств».

«Tendermint Core — это движок консенсуса, который управляет Cosmos Hub и другими блокчейнами на базе протокола», — напомнили специалисты. 

По этой причине в зоне риска оказались такие проекты, как OKX и Kava.

Эксперты компании предупредили команду BNB Chain, которая оперативно внесла исправления. 

Разработчики Tendermint и Cosmos также признали уязвимость. Однако они не стали выпускать патч для библиотеки, поскольку в SDK уже был имплементирован другой механизм доказательства.

В Verichains призвали Web3-проекты, использующие решение от Tendermint, самостоятельно исправить код.

«Критический характер бага может привести к дальнейшим взломам мостов и потере средств на миллионы или даже миллиарды долларов», — предупредили эксперты.

Напомним, в 2022 году ущерб Web3-индустрии от 167 крупных атак составил около $3,6 млрд.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK