Инфраструктурная фирма Jump Crypto обнаружила уязвимость в цепочке маяков BNB, которая позволила бы мяту неограниченного количества произвольных токенов. Проблема была в частном порядке раскрыт команде BNB, что позволило разрабатывать и развернуть патч в течение 24 часов.
В сообщении в блоге от 10 февраля Jump Crypto раскрыл подробный отчет об уязвимости, обнаруженном двумя днями ранее, который «мог бы« привести к большой потере средств ».
Согласно отчету, цепочка BNB содержит два блокчейна: виртуальная интеллектуальная цепочка Ethereum, основанная на вилке Go-Ethereum и цепочке маяков, построенной на вершине Tendermint и Cosmos SDK.
Тем не менее, цепочка маяка использует вилку BNB, размещенную на GitHub с несколькими BNB-специфическими изменениями. «Он отклоняется от Cosmos SDK вверх по течению несколькими способами, мотивируя нас особое внимание на рассмотрении различий», - Crypto, отмечает, что высказывает Crypto, которая недавно начала широкие исследования, посвященные обнаружению и исправлению уязвимостей между проектами посредством скоординированного раскрытия.
Уязвимость позволила бы злоумышленнику манезировать почти неограниченное количество токенов BNB с помощью вредоносной передачи, что означает, что учетные записи будут получать гораздо большее количество токенов BNB, чем первоначально предоставленный отправитель. Jump Crypto отметил:
«Ошибки, которые допускают бесконечную добычу местных активов, являются одними из наиболее важных уязвимостей в Web3. Таким образом, этот вывод является доказательством того, что мы все должны оставаться бдительными и сотрудничать, чтобы повысить гарантии безопасности во всех проектах».
Команда BNB исправила эту проблему, переключившись на устойчивые к переполнению методов арифметического типа SDK. Патч приведет к панике Голанга и сбое транзакций, если расчет монеты переполняет.
Цепочка BNB является родным блокчейном за Crypto Exchange Binance. Генеральный директор компании Changpeng Zhao поблагодарил команду Crypto за то, что он сообщил об ошибке в Twitter:
Большое спасибо @jump_ за сообщения об этой ошибке. Они получили отличную команду безопасности. Действительно ценю это. https://t.co/bqidp5x3y2
- CZ Binance (@cz_binance) 10 февраля 2023 г.
В октябре 2022 года цепочка BNB была кратко приостановлена после того, как перекрестная цепочка поднялась на скомпрометирование криптовалюты на сумму почти 80 миллионов долларов. Генезис нарушения имел место в центре токена BSC, что в конечном итоге привело к созданию «дополнительного BNB», показывает официальный пост на Reddit.
Источник