Verichains предупредила о критических уязвимостях в Tendermint Core

Специалисты Verichains обнаружили несколько критических уязвимостей в широко используемом механизме подтверждения консенсуса на базе АВЛ-дерева от протокола Tendermint Core. Об этом ForkLog сообщили представители компании. В октябре 2022 года кроссчейн-мост BNB Chain подвергся взлому. В результате эксплойта злоумышленник несанкционированно выпустил токены на сумму свыше $544 млн. Хакер использовал ошибку в кодовой базе, которая представляет собственную итерацию решения от Tendermint. В ходе анализа инцидента сотрудники Verichains обнаружили еще ряд проблем. По их словам, уязвимости позволяли провести спуфинг-атаку, которая могла привести к "значительной потере средств". "Tendermint Core — это движок консенсуса, который управляет Cosmos Hub и другими блокчейнами на базе протокола", — напомнили специалисты.  По этой причине в зоне риска оказались такие проекты, как OKX и Kava. Эксперты компании предупредили команду BNB Chain, которая оперативно внесла исправления.  Разработчики Tendermint и Cosmos также признали уязвимость. Однако они не стали выпускать патч для библиотеки, поскольку в SDK уже был имплементирован другой механизм доказательства. В Verichains призвали Web3-проекты, использующие решение от Tendermint, самостоятельно исправить код. "Критический характер бага может привести к дальнейшим взломам мостов и потере средств на миллионы или даже миллиарды долларов", — предупредили эксперты. Напомним, в 2022 году ущерб Web3-индустрии от 167 крупных атак составил около $3,6 млрд.