Verichains предупредила о критических уязвимостях в Tendermint Core

Специалисты Verichains обнаружили несколько критических уязвимостей в широко используемом механизме подтверждения консенсуса на базе АВЛ-дерева от протокола Tendermint Core. Об этом ForkLog сообщили представители компании.

В октябре 2022 года кроссчейн-мост BNB Chain подвергся взлому. В результате эксплойта злоумышленник несанкционированно выпустил токены на сумму свыше $544 млн. Хакер использовал ошибку в кодовой базе, которая представляет собственную итерацию решения от Tendermint.

В ходе анализа инцидента сотрудники Verichains обнаружили еще ряд проблем. По их словам, уязвимости позволяли провести спуфинг-атаку, которая могла привести к «значительной потере средств».

«Tendermint Core — это движок консенсуса, который управляет Cosmos Hub и другими блокчейнами на базе протокола», — напомнили специалисты. 

По этой причине в зоне риска оказались такие проекты, как OKX и Kava.

Эксперты компании предупредили команду BNB Chain, которая оперативно внесла исправления. 

Разработчики Tendermint и Cosmos также признали уязвимость. Однако они не стали выпускать патч для библиотеки, поскольку в SDK уже был имплементирован другой механизм доказательства.

В Verichains призвали Web3-проекты, использующие решение от Tendermint, самостоятельно исправить код.

«Критический характер бага может привести к дальнейшим взломам мостов и потере средств на миллионы или даже миллиарды долларов», — предупредили эксперты.

Напомним, в 2022 году ущерб Web3-индустрии от 167 крупных атак составил около $3,6 млрд.