Web3-infrastruktuuriyritys Jump Crypto on havainnut haavoittuvuuden BNB Beacon Chainissa, joka mahdollistaisi rajoittamattoman määrän mielivaltaisia tokeneita. Ongelma paljastettiin yksityisesti BNB-tiimille, jolloin korjaustiedosto voidaan kehittää ja ottaa käyttöön 24 tunnin sisällä.
Jonkin sisällä blogi helmikuun 10. päivänä julkaistussa viestissä Jump Crypto julkaisi yksityiskohtaisen raportin kaksi päivää aiemmin löydetystä haavoittuvuudesta, joka olisi voinut "johtaa suureen varojen menetykseen".
Raportin mukaan BNB-ketju koostuu kahdesta lohkoketjusta: Ethereum Virtual Machine -yhteensopivasta älyketjusta, joka perustuu go-ethereumin haarukkaan, ja Beacon Chain -ketjuun, joka on rakennettu Tendermintin ja Cosmos SDK:n päälle.
Beacon Chain käyttää kuitenkin GitHubissa isännöityä BNB-haarukkaa useilla BNB-kohtaisilla muutoksilla. "Se poikkeaa Cosmos SDK:sta alkuvaiheessa useilla tavoilla, mikä motivoi meitä olemaan erityisen huolellinen erojen tarkastelussa", toteaa Jump Crypto, joka aloitti äskettäin laajan tutkimustyön, jonka tarkoituksena on löytää ja korjata haavoittuvuuksia projekteissa koordinoidun paljastamisen kautta.
Haavoittuvuus antaisi hyökkääjän lyödä lähes rajattoman määrän BNB-tunnuksia haitallisen siirron kautta, mikä tarkoittaa, että kohdetilit saisivat paljon suuremman määrän BNB-tunnuksia kuin lähettäjä alun perin toimitti. Jump Crypto totesi:
"Virheet, jotka mahdollistavat alkuperäisten resurssien loputtoman lyönnin, ovat joitakin Web3:n kriittisimmistä haavoittuvuuksista. Sellaisenaan tämä havainto on todiste siitä, että meidän kaikkien on pysyttävä valppaina ja tehtävä yhteistyötä parantaaksemme turvatakuuta kaikissa projekteissa. "
BNB-tiimi korjasi ongelman vaihtamalla ylivuotoa vastustaviin aritmeettisiin menetelmiin SDK-kolikkotyypille. Korjaus aiheuttaa golang-paniikin ja tapahtuman epäonnistumisen, jos kolikon laskenta ylittyy.
BNB Chain on natiivi lohkoketju salauspörssin Binancen takana. Yrityksen toimitusjohtaja Changpeng Zhao kiitti Jump Crypton tiimiä vian ilmoittamisesta Twitterissä:
Kiitokset @hypätä_ tämän virheen ilmoittamisesta. Heillä on loistava turvallisuustiimi. Todella arvostaa sitä. https://t.co/bqidp5X3Y2
- CZ Binance (@cz_binance) Helmikuu 10, 2023
Lokakuussa 2022 BNB-ketju keskeytettiin hetkeksi sen jälkeen, kun ketjujen välinen hyväksikäyttö vaaransi lähes 80 miljoonan dollarin arvoisen kryptovaluutan. Rikkomisen synty tapahtui BSC Token Hubissa, mikä johti lopulta "ylimääräisen BNB:n" luomiseen. osoittaa virallinen postaus Redditissä.
Lähde: https://cointelegraph.com/news/jump-crypto-unveils-critical-vulnerability-on-binance-s-bnb-chain