Компанія Verichains, що спеціалізується на безпеці блокчейна, випустила попередження про вразливість у механізмі підтвердження консенсусу на базі AVL Tendermint Core. Фірма рекомендувала проєктам, які користуються послугами Tendermint вжити заходів для захисту своїх активів і зниження ймовірності їхньої експлуатації.

Під час розслідування цієї вразливості компанія виявила інші неполадки. Серйозна атака IAVL Spoofing Attack була знайдена фахівцями з безпеки, які шукали слабкі місця в BNB Chain і Tendermint. Вони виявили безліч недоліків, що привело їх до висновку, що атака могла призвести до великої втрати коштів. BNB Chain була проінформована про ці результати в жовтні і негайно розгорнула виправлення.

Verichains попередила мейнтейнерів Tendermint/Cosmos на початку жовтня 2022 року. Хоча вони визнали наявність вразливостей, але вирішили не випускати патч у бібліотеці Tendermint. Через це під загрозою перебувають кілька проєктів, зокрема Cosmos, Binance Smart Chain, OKX і Kava.

Через критичний характер помилки злам мосту і подальші втрати коштів можуть у певних ситуаціях коштувати мільйони або навіть мільярди доларів. Проекти Web3, які досі використовують IAVL-перевірку доказів Tendermint, отримали попередження від Verichains про необхідність посилити свою безпеку.