Firma infrastruktur Web3 Jump Crypto telah menemui kelemahan dalam Rangkaian Beacon BNB, yang akan membolehkan pengeluaran token sewenang-wenangnya tanpa had. Isu ini telah didedahkan secara peribadi kepada pasukan BNB, membolehkan tampung dibangunkan dan digunakan dalam masa 24 jam.
Dalam pakej blog siaran dari 10 Februari, Jump Crypto mendedahkan laporan terperinci tentang kelemahan yang ditemui dua hari sebelumnya, yang boleh "menyebabkan kerugian besar dana."
Menurut laporan itu, Rantaian BNB terdiri daripada dua rantaian blok: Rangkaian Pintar yang serasi dengan Mesin Maya Ethereum, berdasarkan garpu go-ethereum dan Rantaian Beacon, dibina di atas Tendermint dan Cosmos SDK.
Walau bagaimanapun, Rantaian Beacon menggunakan garpu BNB yang dihoskan pada GitHub dengan beberapa perubahan khusus BNB. "Ia menyimpang daripada Cosmos SDK huluan dalam beberapa cara, mendorong kami untuk lebih berhati-hati dalam menyemak perbezaan," kata Jump Crypto, yang baru-baru ini memulakan usaha penyelidikan luas khusus untuk menemui dan menampal kelemahan merentas projek melalui pendedahan yang diselaraskan.
Kerentanan itu akan membolehkan penyerang mencetak jumlah token BNB yang hampir tidak terhad melalui pemindahan berniat jahat, bermakna akaun destinasi akan menerima bilangan token BNB yang jauh lebih besar daripada yang diberikan oleh pengirim pada mulanya. Jump Crypto menyatakan:
“Pepijat yang membenarkan penempaan aset asli tanpa had adalah beberapa kelemahan paling kritikal dalam Web3. Oleh itu, penemuan ini adalah bukti bahawa kita semua mesti sentiasa berwaspada dan bekerjasama untuk meningkatkan jaminan keselamatan di semua projek. “
Pasukan BNB membetulkan isu ini dengan menukar kepada kaedah aritmetik tahan limpahan untuk jenis syiling SDK. Tampalan akan mengakibatkan panik golang dan kegagalan transaksi jika pengiraan syiling melimpah.
BNB Chain ialah blockchain asli di sebalik pertukaran crypto Binance. Ketua Pegawai Eksekutif syarikat, Changpeng Zhao, mengucapkan terima kasih kepada pasukan Jump Crypto kerana melaporkan pepijat di Twitter:
Banyak terima kasih kepada @lompat_ untuk melaporkan pepijat ini. Mereka mendapat pasukan keselamatan yang hebat. Sangat menghargainya. https://t.co/bqidp5X3Y2
- CZ Binance (@cz_binance) Februari 10, 2023
Pada Oktober 2022, Rantaian BNB telah digantung sebentar selepas eksploitasi silang rantai menjejaskan mata wang kripto bernilai hampir $80 juta. Asal-usul pelanggaran berlaku di Hab Token BSC, akhirnya menghasilkan penciptaan "BNB tambahan," menunjukkan jawatan rasmi di Reddit.
Sumber: https://cointelegraph.com/news/jump-crypto-unveils-critical-vulnerability-on-binance-s-bnb-chain