Verichains, perusahaan keamanan blockchain terkemuka, telah merilis peringatan publik mengenai kerentanan yang signifikan dalam verifikasi bukti IAVL Tendermint. Verichains telah menemukan beberapa kelemahan kritis dalam bukti IAVL. Mesin konsensus BFT yang populer ini dapat mengekspos banyak proyek Web3 terhadap pelanggaran keamanan dan kerugian yang signifikan.
Penasihat publik pertama, VSA-2022-100, menyoroti kerentanan Pohon Merkle Kosong yang signifikan dalam bukti IAVL. Sebaliknya, penasihat kedua, VSA-2022-101, mengungkapkan Serangan Spoofing IAVL kritis yang dapat dieksploitasi melalui beberapa kerentanan. Kedua kerentanan tersebut dapat menyebabkan kerugian miliaran dolar. Verichains merekomendasikan agar semua proyek Web3 yang rentan menerapkan peningkatan keamanan segera.
Verichains Menemukan Serangan Spoofing IAVL yang Serius
Kerentanan ini ditemukan selama penyelidikan Verichains terhadap akibat dari pembobolan jembatan BNB Chain. Para profesional keamanan menemukan Serangan Spoofing IAVL saat mencari kelemahan di BNB Chain dan Tendermint. Tim menemukan beberapa kelemahan, menyimpulkan bahwa serangan tersebut dapat mengakibatkan kerugian dana yang signifikan.
Sementara BNB Chain diberitahu tentang temuan tersebut dan segera melakukan perbaikan, Tendermint hanya diberitahu secara pribadi tentang kerentanan tersebut. Sayangnya, perpustakaan Tendermint tidak mendapat tempat karena implementasi IBC dan Cosmos-SDK telah beralih ke ICS-23 dari verifikasi bukti IAVL Merkle. Akibatnya, beberapa proyek terancam, termasuk Cosmos, Binance Smart Chain, OKX, dan Kava.
Verichains mengikuti Kebijakan Pengungkapan Kerentanan yang Bertanggung Jawab, yang mengharuskan perusahaan untuk menunggu 120 hari sebelum mengungkapkan kerentanan secara publik. Namun, karena tingkat keparahan cacatnya, penundaan dalam mengimplementasikan peningkatan keamanan dapat menyebabkan pelanggaran lebih lanjut, yang mengakibatkan kerugian dana yang signifikan.
Peningkatan Keamanan Segera Direkomendasikan
Rekomendasi Verichains untuk peningkatan keamanan segera bertujuan untuk mengurangi kemungkinan eksploitasi dan melindungi aset proyek Web3 yang rentan. Proyek yang menggunakan verifikasi bukti IAVL Tendermint harus menerapkan langkah-langkah ini untuk menghindari kerugian yang berpotensi menghancurkan.
Sebagai kesimpulan, menemukan kerentanan yang signifikan dalam verifikasi bukti IAVL Tendermint menyoroti pentingnya menjaga protokol keamanan yang kuat dalam proyek Web3. Potensi kerugian yang besar menekankan perlunya perusahaan keamanan seperti Verichains untuk mengidentifikasi kerentanan dan menyadarkan masyarakat akan hal tersebut. Rekomendasi Verichains untuk peningkatan keamanan segera sangat penting untuk mencegah pelanggaran lebih lanjut dan melindungi proyek Web3 dari potensi kerugian.