Η εταιρεία υποδομής Web3 Jump Crypto ανακάλυψε μια ευπάθεια στην αλυσίδα BNB Beacon, η οποία θα επέτρεπε τη δημιουργία απεριόριστης ποσότητας αυθαίρετων διακριτικών. Το ζήτημα αποκαλύφθηκε ιδιωτικά στην ομάδα BNB, επιτρέποντας την ανάπτυξη και την ανάπτυξη μιας ενημέρωσης κώδικα εντός 24 ωρών.
Σε blog ανάρτηση από τις 10 Φεβρουαρίου, το Jump Crypto αποκάλυψε μια λεπτομερή αναφορά σχετικά με την ευπάθεια που εντοπίστηκε δύο ημέρες νωρίτερα, η οποία θα μπορούσε να «οδήγησε σε μεγάλη απώλεια κεφαλαίων».
Σύμφωνα με την αναφορά, η αλυσίδα BNB περιλαμβάνει δύο αλυσίδες μπλοκ: Την Έξυπνη αλυσίδα συμβατή με την εικονική μηχανή Ethereum, που βασίζεται σε ένα πιρούνι του go-ethereum και την αλυσίδα Beacon, χτισμένη πάνω από το Tendermint και το Cosmos SDK.
Ωστόσο, το Beacon Chain χρησιμοποιεί ένα πιρούνι BNB που φιλοξενείται στο GitHub με αρκετές αλλαγές ειδικά για το BNB. «Αποκλίνει από το Cosmos SDK upstream με διάφορους τρόπους, παρακινώντας μας να δείξουμε ιδιαίτερη προσοχή στην επανεξέταση των διαφορών», σημειώνει η Jump Crypto, η οποία ξεκίνησε πρόσφατα μια ευρεία ερευνητική προσπάθεια αφιερωμένη στην ανακάλυψη και την επιδιόρθωση τρωτών σημείων σε έργα μέσω συντονισμένης αποκάλυψης.
Η ευπάθεια θα επέτρεπε σε έναν εισβολέα να κόψει σχεδόν απεριόριστο αριθμό διακριτικών BNB μέσω μιας κακόβουλης μεταφοράς, πράγμα που σημαίνει ότι οι λογαριασμοί προορισμού θα λάμβαναν πολύ μεγαλύτερο αριθμό διακριτικών BNB από ό,τι αρχικά παρείχε ο αποστολέας. Το Jump Crypto σημείωσε:
«Τα σφάλματα που επιτρέπουν την άπειρη κοπή εγγενών στοιχείων είναι μερικά από τα πιο κρίσιμα τρωτά σημεία στο Web3. Ως εκ τούτου, αυτό το εύρημα είναι απόδειξη ότι όλοι πρέπει να παραμείνουμε σε εγρήγορση και να συνεργαστούμε για να αυξήσουμε τις διασφαλίσεις ασφαλείας σε όλα τα έργα. "
Η ομάδα BNB διόρθωσε το πρόβλημα μεταβαίνοντας σε αριθμητικές μεθόδους ανθεκτικές στην υπερχείλιση για τον τύπο νομίσματος SDK. Η ενημερωμένη έκδοση κώδικα θα οδηγήσει σε πανικό golang και αποτυχία συναλλαγής εάν ο υπολογισμός του νομίσματος υπερχειλίσει.
Το BNB Chain είναι το εγγενές blockchain πίσω από το ανταλλακτήριο κρυπτογράφησης Binance. Ο Διευθύνων Σύμβουλος της εταιρείας, Changpeng Zhao, ευχαρίστησε την ομάδα του Jump Crypto για την αναφορά του σφάλματος στο Twitter:
Πολλές ευχαριστίες για την @άλμα_ για την αναφορά αυτού του σφάλματος. Είχαν μια μεγάλη ομάδα ασφαλείας. Πραγματικά το εκτιμώ. https://t.co/bqidp5X3Y2
- CZ Binance (@cz_binance) Φεβρουάριος 10, 2023
Τον Οκτώβριο του 2022, η αλυσίδα BNB ανεστάλη για λίγο αφού ένα cross-chain exploit έθεσε σε κίνδυνο κρυπτονομίσματα αξίας σχεδόν 80 εκατομμυρίων δολαρίων. Η γένεση της παραβίασης έλαβε χώρα στο BSC Token Hub, με αποτέλεσμα τελικά τη δημιουργία ενός «έξτρα BNB». δείχνει επίσημη ανάρτηση στο Reddit.
Πηγή: https://cointelegraph.com/news/jump-crypto-unveils-critical-vulnerability-on-binance-s-bnb-chain