Compania de infrastructură Web3 Jump Crypto a descoperit o vulnerabilitate în Binance BNB Beacon Chain, care ar permite baterea unui număr nelimitat de jetoane arbitrare. Problema a fost dezvăluită în mod privat echipei BNB, permițând dezvoltarea și implementarea unui patch în 24 de ore.

Într-o postare pe blog din 10 februarie, Jump Crypto dezvăluit un raport detaliat despre vulnerabilitatea găsită cu două zile mai devreme, care ar fi putut „duca la o mare pierdere de fonduri”.

Potrivit raportului, lanțul BNB este format din două blockchain-uri: lanțul inteligent compatibil EVM (BSC), care se bazează pe o furcă go-ethereum și lanțul Beacon, construit pe Tendermint și Cosmos SDK.

Cu toate acestea, Beacon Chain folosește o furcă BNB găzduită de GitHub cu mai multe modificări specifice BNB. „Se abate de la SDK-ul Cosmos din amonte în mai multe moduri, ceea ce ne motivează să fim foarte atenți atunci când revizuim diferențele”, notează Jump Crypto, care a început recent un efort amplu de cercetare dedicat descoperirii și corectării vulnerabilităților în cadrul proiectelor prin dezvăluire coordonată.

Vulnerabilitatea ar permite unui atacator să bată un număr aproape nelimitat de jetoane BNB printr-un transfer rău intenționat, ceea ce înseamnă că conturile țintă ar primi un număr mult mai mare de jetoane BNB decât a fost furnizat inițial de către expeditor. Jump Crypto a notat:

„Erorile care permit generarea infinită a activelor native sunt unele dintre cele mai critice vulnerabilități din web3. Ca atare, această constatare este dovada că trebuie să fim cu toții vigilenți și să lucrăm împreună pentru a crește garanțiile de securitate în toate proiectele.”

Echipa BNB a remediat problema trecând la metode aritmetice rezistente la depășire pentru tipul sdk.Coin. Patch-ul va duce la o panică golang și la eșecul tranzacției dacă calculul monedei depășește.

Lanțul BNB este blockchain-ul nativ din spatele schimbului de criptomonede Binance. CEO-ul companiei, Changpeng Zhao, a mulțumit echipei Jump Crypto pentru raportarea erorii pe Twitter:

În octombrie 2022, lanțul BNB a fost suspendat pentru scurt timp după ce o exploatare încrucișată a compromis o criptomonedă în valoare de aproape 80 de milioane de dolari. Geneza încălcării a avut loc la BSC Token Hub, ducând în cele din urmă la crearea unui „BNB suplimentar”. spectacole o postare oficială pe Reddit.