Firma de infrastructură Web3 Jump Crypto a descoperit o vulnerabilitate în BNB Beacon Chain, care ar permite menținerea unei cantități nelimitate de jetoane arbitrare. Problema a fost dezvăluită în mod privat echipei BNB, permițând dezvoltarea și implementarea unui patch în 24 de ore.
Într-o blogul postare din 10 februarie, Jump Crypto a dezvăluit un raport detaliat despre vulnerabilitatea găsită cu două zile mai devreme, care ar fi putut „a duce la o mare pierdere de fonduri”.
Conform raportului, lanțul BNB cuprinde două blockchain: lanțul inteligent compatibil Ethereum Virtual Machine, bazat pe o furcă de go-ethereum și lanțul Beacon, construit pe Tendermint și Cosmos SDK.
Cu toate acestea, Beacon Chain folosește o furcă BNB găzduită pe GitHub cu mai multe modificări specifice BNB. „Se abate de la SDK-ul Cosmos în amonte în mai multe moduri, motivându-ne să avem o atenție sporită în revizuirea diferențelor”, notează Jump Crypto, care a început recent un efort amplu de cercetare dedicat descoperirii și corecțiilor vulnerabilităților din cadrul proiectelor prin dezvăluire coordonată.
Vulnerabilitatea ar permite unui atacator să bată o cantitate aproape nelimitată de jetoane BNB printr-un transfer rău intenționat, ceea ce înseamnă că conturile de destinație ar primi un număr mult mai mare de jetoane BNB decât a furnizat inițial expeditorul. Jump Crypto a notat:
„Erorile care permit generarea infinită a activelor native sunt unele dintre cele mai critice vulnerabilități din Web3. Ca atare, această constatare este dovada că toți trebuie să rămânem vigilenți și să colaborăm pentru a crește garanțiile de securitate în toate proiectele. „
Echipa BNB a remediat problema trecând la metode aritmetice rezistente la debordare pentru tipul de monedă SDK. Patch-ul va duce la o panică golang și o tranzacție eșuată dacă calculul monedei depășește.
BNB Chain este blockchain-ul nativ din spatele schimbului de criptomonede Binance. CEO-ul companiei, Changpeng Zhao, a mulțumit echipei Jump Crypto pentru raportarea erorii pe Twitter:
Multe mulțumiri @a sari_ pentru raportarea acestei erori. Au o echipă grozavă de securitate. Chiar apreciez asta. https://t.co/bqidp5X3Y2
- CZ Binance (@cz_binance) 10 Februarie 2023
În octombrie 2022, lanțul BNB a fost suspendat pentru scurt timp după ce o exploatare încrucișată a compromis criptomonede în valoare de aproape 80 de milioane de dolari. Geneza încălcării a avut loc pe BSC Token Hub, ducând în cele din urmă la crearea unui „BNB suplimentar”. spectacole o postare oficială pe Reddit.
Sursa: https://cointelegraph.com/news/jump-crypto-unveils-critical-vulnerability-on-binance-s-bnb-chain