Web3 infrastrukturna tvrtka Jump Crypto otkrila je ranjivost u BNB Beacon Chain-u, koja bi omogućila kovanje neograničene količine proizvoljnih tokena. Problem je privatno otkriven timu BNB-a, što je omogućilo razvoj i implementaciju zakrpe u roku od 24 sata.
U blog post od 10. veljače, Jump Crypto je otkrio detaljno izvješće o ranjivosti pronađenoj dva dana ranije, koja je mogla "dovesti do velikog gubitka sredstava."
Prema izvješću, BNB lanac sastoji se od dva blockchaina: Pametni lanac kompatibilan s Ethereum Virtual Machine, temeljen na forku go-ethereuma i Beacon Chain, izgrađen na Tendermintu i Cosmos SDK-u.
Međutim, Beacon Chain koristi BNB fork koji se nalazi na GitHubu s nekoliko promjena specifičnih za BNB. "Odstupa od Cosmos SDK-a uzvodno na nekoliko načina, što nas motivira da budemo posebno oprezni u pregledu razlika", napominje Jump Crypto, koji je nedavno započeo široki istraživački napor posvećen otkrivanju i krpanju ranjivosti u projektima putem koordiniranog otkrivanja.
Ranjivost bi omogućila napadaču da iskuje gotovo neograničenu količinu BNB tokena putem zlonamjernog prijenosa, što znači da bi odredišni računi primili puno veći broj BNB tokena nego što je pošiljatelj prvobitno dostavio. Jump Crypto je primijetio:
“Bugovi koji dopuštaju beskonačno kovanje izvornih sredstava neke su od najkritičnijih ranjivosti u Web3. Kao takvo, ovo je otkriće dokaz da svi moramo ostati na oprezu i surađivati kako bismo podigli sigurnosna jamstva u svim projektima. “
Tim BNB-a riješio je problem prebacivanjem na aritmetičke metode otporne na preljev za vrstu kovanice SDK. Zakrpa će rezultirati golang panikom i neuspjehom transakcije ako se izračun novčića prelije.
BNB Chain je izvorni blockchain iza kripto mjenjačnice Binance. Izvršni direktor tvrtke, Changpeng Zhao, zahvalio je Jump Crypto timu što su prijavili grešku na Twitteru:
Puno hvala @skok_ za prijavu ovog buga. Imaju sjajan sigurnosni tim. Stvarno to cijenim. https://t.co/bqidp5X3Y2
- CZ Binance (@cz_binance) Veljače 10, 2023
U listopadu 2022. lanac BNB nakratko je suspendiran nakon što je cross-chain exploit kompromitirao kriptovalutu u vrijednosti od gotovo 80 milijuna dolara. Nastanak provale dogodio se na BSC Token Hubu, što je na kraju rezultiralo stvaranjem "dodatnog BNB-a", pokazuje službenu objavu na Redditu.
Izvor: https://cointelegraph.com/news/jump-crypto-unveils-critical-vulnerability-on-binance-s-bnb-chain