Jump Crypto, firma infrastrukturalna Web3, odkryła lukę w BNB Beacon Chain, która umożliwiłaby wybicie nieograniczonej liczby dowolnych tokenów. Problem został ujawniony prywatnie zespołowi BNB, co umożliwiło opracowanie i wdrożenie poprawki w ciągu 24 godzin.
W blog post z 10 lutego, Jump Crypto ujawnił szczegółowy raport o luce wykrytej dwa dni wcześniej, która mogła „doprowadzić do dużej utraty funduszy”.
Zgodnie z raportem, łańcuch BNB składa się z dwóch łańcuchów bloków: inteligentnego łańcucha kompatybilnego z maszyną wirtualną Ethereum, opartego na rozwidleniu go-ethereum oraz łańcucha Beacon, zbudowanego na Tendermint i Cosmos SDK.
Jednak Beacon Chain wykorzystuje rozwidlenie BNB hostowane na GitHub z kilkoma zmianami specyficznymi dla BNB. „Odbiega od Cosmos SDK na kilka sposobów, co motywuje nas do zachowania szczególnej ostrożności przy przeglądaniu różnic” — zauważa Jump Crypto, które niedawno rozpoczęło szeroko zakrojone badania poświęcone odkrywaniu i łataniu luk w zabezpieczeniach w projektach poprzez skoordynowane ujawnianie.
Luka w zabezpieczeniach umożliwiłaby osobie atakującej wybicie niemal nieograniczonej liczby tokenów BNB za pośrednictwem złośliwego transferu, co oznacza, że konta docelowe otrzymają znacznie większą liczbę tokenów BNB niż początkowo dostarczył nadawca. Skok Crypto zauważył:
„Błędy, które pozwalają na nieskończone tworzenie natywnych zasobów, to jedne z najbardziej krytycznych luk w zabezpieczeniach Web3. Jako takie, to odkrycie jest dowodem na to, że wszyscy musimy zachować czujność i współpracować, aby podnieść poziom gwarancji bezpieczeństwa we wszystkich projektach. “
Zespół BNB rozwiązał problem, przełączając się na metody arytmetyczne odporne na przepełnienie dla monet typu SDK. Łatka spowoduje panikę golanga i niepowodzenie transakcji, jeśli obliczenia monet się przepełnią.
Łańcuch BNB to natywny łańcuch blokowy stojący za giełdą kryptowalut Binance. Dyrektor generalny firmy, Changpeng Zhao, podziękował zespołowi Jump Crypto za zgłoszenie błędu na Twitterze:
Serdeczne podziękowania dla @skok_ za zgłoszenie tego błędu. Mają świetny zespół bezpieczeństwa. Naprawdę to doceniam. https://t.co/bqidp5X3Y2
— CZ Binance (@cz_binance) 10 lutego 2023 r.
W październiku 2022 Sieć BNB został na krótko zawieszony po tym, jak exploit międzyłańcuchowy naraził na szwank kryptowalutę o wartości prawie 80 milionów dolarów. Geneza naruszenia miała miejsce na BSC Token Hub, ostatecznie skutkując utworzeniem „dodatkowego BNB”, przedstawia oficjalny post na Reddit.
Źródło: https://cointelegraph.com/news/jump-crypto-unveils-critical-vulnerability-on-binance-s-bnb-chain