Verichains обнаружила уязвимости в Tendermint 

• Прежде чем обнародовать уязвимость компания выждала 120 дней
• Verichains рекомендовала всем уязвимым проектам немедленно провести модернизацию системы безопасности

Компания Verichains, специализирующаяся на безопасности блокчейна выпустила предупреждение об уязвимости в механизме подтверждения консенсуса на базе AVL Tendermint Core. Фирма рекомендовала проектам, которые пользуются услугами Tendermint принять меры для защиты своих активов и снижения вероятности их эксплуатации. 

В ходе расследования этой уязвимости компания обнаружила другие неполадки. Серьезная атака IAVL Spoofing Attack была найдена специалистами по безопасности, которые искали слабые места в BNB Chain и Tendermint. Они обнаружили множество недостатков, что привело их к выводу, что атака могла привести к большой потере средств. BNB Chain была проинформирована об этих результатах в октябре и немедленно развернула исправления. 

Verichains предупредила мейнтейнеров Tendermint/Cosmos в начале октября 2022 года. Хотя они признали наличие уязвимостей, но решили не выпускать патч в библиотеке Tendermint. Из-за этого под угрозой находятся несколько проектов, в том числе Cosmos, Binance Smart Chain, OKX и Kava.

Из-за критического характера ошибки взлом моста и последующие потери средств могут в определенных ситуациях стоить миллионы или даже миллиарды долларов. Проекты Web3, которые до сих пор используют IAVL-проверку доказательств Tendermint, получили предупреждение от Verichains о необходимости усилить свою безопасность.