များပြားလှသော အရေးပါသော အားနည်းချက်များကို ရှာဖွေတွေ့ရှိပြီးနောက်၊ စက်မှုလုပ်ငန်း ဦးဆောင်သူ blockchain လုံခြုံရေးကုမ္ပဏီ Verichains သည် ၎င်းတို့၏ပိုင်ဆိုင်မှုများကို ကာကွယ်ရန်နှင့် အမြတ်ထုတ်ခံရနိုင်ခြေကို လျှော့ချရန်အတွက် Tendermint ၏ IAVL အထောက်အထားစိစစ်ခြင်းကို အသုံးပြု၍ ပရောဂျက်များကို အကြံပြုထားသည်။
Verichains သည် အများသူငှာ အကြံဉာဏ်ပေးထားပြီး၊ VSA-2022-100မတ်လ 8 ရက်နေ့တွင် Finbold နှင့်မျှဝေထားသောအချက်အလက်များအရ ထင်ရှားသော BFT သဘောတူညီမှုအင်ဂျင်ဖြစ်သည့် Tendermint Core ရှိ IAVL အထောက်အထားရှိ သိသာထင်ရှားသော Empty Merkle Tree အားနည်းချက်အကြောင်း၊
ပြီးခဲ့သည့်နှစ်အောက်တိုဘာလတွင် Verichains သည် BNB Chain တံတားကျိုးပေါက်မှုအပြီးတွင် ၎င်းတို့လုပ်ဆောင်နေချိန်တွင် ဤတွေ့ရှိချက်ကို ရှာဖွေတွေ့ရှိခဲ့သည်။ ပြင်းထန်သော IAVL Spoofing Attack တွင် အားနည်းချက်များကို ရှာဖွေနေသော လုံခြုံရေးကျွမ်းကျင်သူများက ရှာဖွေတွေ့ရှိခဲ့သည်။ BNB ဆိုင်ခွဲ နှင့် Tendermint ။ ၎င်းတို့သည် ချို့ယွင်းချက်များစွာကို ဖော်ထုတ်ခဲ့ပြီး ယင်းတိုက်ခိုက်မှုသည် ရန်ပုံငွေ ဆုံးရှုံးမှုကြီးကြီးမားမားဖြစ်စေနိုင်သည်ဟု ကောက်ချက်ချနိုင်စေသည်။ ယခင်ရှိပြီးသား လုပ်ငန်းပူးပေါင်းဆောင်ရွက်မှုကြောင့် BNB Chain သည် အောက်တိုဘာလတွင် အဆိုပါရလဒ်များကို အကြောင်းကြားခဲ့ပြီး ချက်ချင်းပြင်ဆင်မှုတစ်ခုကို လုပ်ဆောင်ခဲ့သည်။
တစ်ချိန်တည်းတွင်၊ Tendermint/Cosmos ထိန်းသိမ်းသူသည် ချို့ယွင်းချက်များကို လျှို့ဝှက်အသိပေးခဲ့ပြီး ၎င်းတို့ကို အသိအမှတ်ပြုခဲ့သည်။ သို့သော် IBC နှင့် Cosmos-SDK အကောင်အထည်ဖော်မှုသည် IAVL Merkle အထောက်အထားစိစစ်မှုမှ ICS-23 သို့ ပြောင်းထားပြီးဖြစ်သောကြောင့် Tendermint စာကြည့်တိုက်တွင် ပြုပြင်မှုမရရှိခဲ့ပါ။ လောလောဆယ်မှာ ပရောဂျက်တော်တော်များများက အန္တရာယ်ရှိတယ်။ အဲဒီ ပရောဂျက်တွေထဲမှာ ပါဝင်ပါတယ်။ ဠာ၊ Binance Smart Chain၊ OKX နှင့် Kava.
တွေ့ရှိချက်များကို BNB Chain မှ အသိပေးအပ်ပါသည်။
ဒုတိယအများပြည်သူဆိုင်ရာ အကြံပေးအဖွဲ့အဖြစ် သတ်မှတ်ခဲ့သည်။ VSA-2022-101Verichains မှ Nil မှ Spoof အထိ - အားနည်းချက်များစွာဖြင့် Critical IAVL Spoofing Attack ကိုလည်း ထုတ်ပြန်ထားပါသည်။
၎င်းကို ၎င်း၏ တာဝန်ခံမှု အားနည်းချက် ထုတ်ဖော်မှု အစပျိုးမှု၏ တစ်စိတ်တစ်ပိုင်းအနေဖြင့် လုပ်ဆောင်ခဲ့ခြင်းဖြစ်သည်။ Cosmos Hub နှင့် Tendermint တွင်တည်ဆောက်ထားသော အခြားသော blockchains အားလုံးကို Tendermint Core ဟုခေါ်သော အများဆန္ဒသဘောတူထားသောအင်ဂျင်ဖြင့် မောင်းနှင်ထားသည်။
Verichains ၏ တာဝန်ယူမှုရှိသော အားနည်းချက်ကို ထုတ်ဖော်ရေးမူဝါဒအရ ကုမ္ပဏီသည် အားနည်းချက်ကို အများသိစေရန် ရက်ပေါင်း 120 စောင့်ဆိုင်းခဲ့သည်။ ချို့ယွင်းချက် ပြင်းထန်မှုကြောင့်၊ နောက်ထပ် တံတားများ ဖောက်ထွင်းခံရခြင်း ဖြစ်နိုင်ပြီး နောက်ထပ် ဆုံးရှုံးသွားသော ငွေပေးချေမှုများ ဖြစ်ပေါ်လာကာ ဒေါ်လာ သန်းရာနှင့်ချီ သို့မဟုတ် ဘီလီယံပေါင်းများစွာ ဖြစ်နိုင်သည်။
ရလဒ်အနေဖြင့် Verichains သည် Tendermint ၏ IAVL-အထောက်အထားစိစစ်မှုကို အားကိုးသည့် အားနည်းချက်ရှိသော Web3 ပရောဂျက်များကို ချက်ခြင်းလုံခြုံရေးအဆင့်မြှင့်တင်မှုများ လုပ်ဆောင်ရန် အကြံပြုထားသည်။
ရှာဖွေတွေ့ရှိပြီးသည်နှင့် Verichains အဖွဲ့သည် ကုမ္ပဏီ၏ဆိုက်မှတစ်ဆင့် ၎င်းတွေ့ရှိထားသည့် အားနည်းချက်များနှင့် လုံခြုံရေးယိုပေါက်များကို ချက်ခြင်းထုတ်ဖော်ပြသမည်ဖြစ်သည်။
အရင်းအမြစ်- https://finbold.com/verichains-warns-cosmos-bsc-okx-projects-of-serious-security-flaws/