Фірма, що займається інфраструктурою Web3, Jump Crypto, виявила вразливість у BNB Beacon Chain, яка дозволяє карбувати необмежену кількість довільних токенів. Про проблему було приватно повідомлено команді BNB, що дозволило розробити та розгорнути виправлення протягом 24 годин.
В блозі У публікації від 10 лютого Jump Crypto оприлюднив докладний звіт про вразливість, знайдену двома днями раніше, яка могла «призвести до великої втрати коштів».
Відповідно до звіту, ланцюг BNB складається з двох блокчейнів: розумного ланцюга, сумісного з віртуальною машиною Ethereum, заснованого на форку go-ethereum, і ланцюга Beacon, побудованого на основі Tendermint і Cosmos SDK.
Проте Beacon Chain використовує форк BNB, розміщений на GitHub, із кількома змінами, характерними для BNB. «Він декількома способами відрізняється від Cosmos SDK, що спонукає нас бути особливо уважними при розгляді відмінностей», — зазначає Jump Crypto, який нещодавно розпочав широке дослідження, спрямоване на виявлення та виправлення вразливостей у проектах за допомогою скоординованого розкриття інформації.
Уразливість дозволить зловмиснику карбувати майже необмежену кількість токенів BNB за допомогою зловмисної передачі, що означає, що цільові облікові записи отримають набагато більшу кількість токенів BNB, ніж спочатку надав відправник. Jump Crypto зазначив:
«Помилки, які дозволяють нескінченно карбувати нативні ресурси, є одними з найбільш критичних уразливостей у Web3. Таким чином, це відкриття є доказом того, що ми всі повинні залишатися пильними та співпрацювати, щоб підвищити гарантії безпеки в усіх проектах. «
Команда BNB виправила проблему, перейшовши на стійкі до переповнення арифметичні методи для типу монет SDK. Патч призведе до паніки golang і збою транзакції, якщо розрахунок монет переповнюється.
BNB Chain — це рідний блокчейн, що стоїть за криптобіржею Binance. Генеральний директор компанії Чанпен Чжао подякував команді Jump Crypto за повідомлення про помилку в Twitter:
Велике спасибі @jump_ за повідомлення про цю помилку. У них чудова команда безпеки. Дуже ціную це. https://t.co/bqidp5X3Y2
- CZ Binance (@cz_binance) 10 Лютого, 2023
У жовтні 2022 р. Мережа БНБ було ненадовго призупинено після того, як крос-чейн-експлойт скомпрометував криптовалюту на суму майже 80 мільйонів доларів. Початок зламу стався на BSC Token Hub, що зрештою призвело до створення «додаткового BNB», шоу офіційний допис на Reddit.
Джерело: https://cointelegraph.com/news/jump-crypto-unveils-critical-vulnerability-on-binance-s-bnb-chain