Web3 infraštruktúrna firma Jump Crypto objavila zraniteľnosť v BNB Beacon Chain, ktorá by umožnila raziť neobmedzené množstvo ľubovoľných tokenov. Problém bol súkromne oznámený tímu BNB, čo umožnilo vývoj a nasadenie opravy do 24 hodín.
V blog príspevok z 10. februára zverejnil Jump Crypto podrobnú správu o zraniteľnosti zistenej pred dvoma dňami, ktorá mohla „viesť k veľkej strate finančných prostriedkov“.
Podľa správy obsahuje reťazec BNB dva blockchainy: inteligentný reťazec kompatibilný s virtuálnym strojom Ethereum, založený na vidlici go-ethereum a reťazec Beacon, postavený na súpravách Tendermint a Cosmos SDK.
Beacon Chain však používa BNB vidlicu hosťovanú na GitHub s niekoľkými zmenami špecifickými pre BNB. „Odchyľuje sa od Cosmos SDK upstream v niekoľkých smeroch, čo nás motivuje, aby sme venovali zvýšenú pozornosť kontrole rozdielov,“ poznamenáva Jump Crypto, ktorá nedávno začala rozsiahle výskumné úsilie venované odhaľovaniu a oprave zraniteľností v projektoch prostredníctvom koordinovaného zverejňovania.
Zraniteľnosť by umožnila útočníkovi raziť takmer neobmedzené množstvo tokenov BNB prostredníctvom škodlivého prevodu, čo znamená, že cieľové účty by dostali oveľa väčší počet tokenov BNB, než pôvodne poskytol odosielateľ. Jump Crypto poznamenal:
„Chyby, ktoré umožňujú nekonečné ťaženie natívnych aktív, sú niektoré z najdôležitejších zraniteľností vo Web3. Toto zistenie je dôkazom toho, že všetci musíme zostať ostražití a spolupracovať, aby sme zvýšili bezpečnostné záruky vo všetkých projektoch. “
Tím BNB problém vyriešil prechodom na aritmetické metódy odolné proti pretečeniu pre typ mincí SDK. Náplasť bude mať za následok golangovú paniku a zlyhanie transakcie, ak výpočet mincí pretečie.
BNB Chain je natívny blockchain kryptoburzy Binance. Generálny riaditeľ spoločnosti, Changpeng Zhao, poďakoval tímu Jump Crypto za nahlásenie chyby na Twitteri:
Mnohé vďaka @jump_ za nahlásenie tejto chyby. Majú skvelý bezpečnostný tím. Naozaj si to vážim. https://t.co/bqidp5X3Y2
- CZ Binance (@cz_binance) Februára 10, 2023
V októbri 2022 reťazec BNB bol nakrátko pozastavený po tom, čo zneužitie krížového reťazca skompromitovalo kryptomenu v hodnote takmer 80 miliónov dolárov. Genéza porušenia sa odohrala na BSC Token Hub, čo nakoniec viedlo k vytvoreniu „extra BNB“, ukazuje oficiálny príspevok na Reddite.
Zdroj: https://cointelegraph.com/news/jump-crypto-unveils-critical-vulnerability-on-binance-s-bnb-chain