A Jump Crypto web3 infrastruktúrával foglalkozó cég egy sebezhetőséget fedezett fel a BNB Beacon Chainben, amely korlátlan mennyiségű tetszőleges tokenek verését teszi lehetővé. A problémát privátban közölték a BNB csapatával, így 24 órán belül kifejleszthető és telepíthető a javítás.
egy blog A február 10-i bejegyzésben a Jump Crypto részletes jelentést tett közzé a két nappal korábban talált sebezhetőségről, amely „nagy pénzvesztéshez vezethetett volna”.
A jelentés szerint a BNB-lánc két blokkláncból áll: az Ethereum Virtual Machine-kompatibilis intelligens láncból, amely a go-ethereum villáján alapul, és a Beacon Chain-ből, amely a Tendermint és a Cosmos SDK tetejére épül.
A Beacon Chain azonban a GitHubon tárolt BNB-villát használ számos BNB-specifikus változtatással. „Több szempontból is eltér a Cosmos SDK-tól, ami arra késztet bennünket, hogy fokozottan ügyeljünk a különbségek áttekintésére” – jegyzi meg a Jump Crypto, amely a közelmúltban széleskörű kutatási erőfeszítésbe kezdett a projektek közötti sebezhetőségek koordinált közzététele révén történő feltárására és javítására.
A sérülékenység lehetővé tenné a támadó számára, hogy rosszindulatú átutalással szinte korlátlan mennyiségű BNB-tokent vertessen, ami azt jelenti, hogy a célfiókok sokkal több BNB-tokent kapnának, mint amennyit a küldő eredetileg biztosított. Jump Crypto megjegyezte:
„A natív eszközök végtelen mentését lehetővé tevő hibák a Web3 legkritikusabb biztonsági rései közé tartoznak. Mint ilyen, ez a megállapítás azt bizonyítja, hogy mindannyiunknak ébernek kell maradnunk, és együtt kell működnünk a biztonsági garanciák növelése érdekében minden projektben. "
A BNB csapata úgy oldotta meg a problémát, hogy az SDK érmetípusnál túlcsordulásálló aritmetikai módszerekre váltott. A javítás golang pánikot és tranzakciós sikertelenséget eredményez, ha az érmeszámítás túlcsordul.
A BNB Chain a natív blokklánc a Binance kriptotőzsde mögött. A cég vezérigazgatója, Changpeng Zhao megköszönte a Jump Crypto csapatának, hogy bejelentették a hibát a Twitteren:
Köszönet @ugrás_ a hiba bejelentéséért. Remek biztonsági csapatuk van. Igazán értékelem. https://t.co/bqidp5X3Y2
- CZ Binance (@cz_binance) Február 10, 2023
2022 októberében a BNB-lánc rövid időre felfüggesztették miután egy cross-chain exploit közel 80 millió dollár értékű kriptovalutát veszélyeztetett. A jogsértés keletkezése a BSC Token Hub-on történt, ami végül egy „extra BNB” létrehozását eredményezte. mutatja hivatalos bejegyzés a Redditen.
Forrás: https://cointelegraph.com/news/jump-crypto-unveils-critical-vulnerability-on-binance-s-bnb-chain