Web3 基础设施公司 Jump Crypto 发现了 BNB 信标链中的一个漏洞,该漏洞允许铸造无限量的任意代币。 该问题已私下披露给 BNB 团队,使补丁能够在 24 小时内开发和部署。
在一个 新闻 从 10 月 XNUMX 日开始,Jump Crypto 披露了一份关于两天前发现的漏洞的详细报告,该漏洞可能“导致大量资金损失”。
根据报告,BNB 链包括两个区块链:基于 go-ethereum 的分叉的以太坊虚拟机兼容智能链和建立在 Tendermint 和 Cosmos SDK 之上的信标链。
但是,信标链使用托管在 GitHub 上的 BNB 分叉,并进行了一些特定于 BNB 的更改。 Jump Crypto 指出:“它在几个方面偏离了上游的 Cosmos SDK,促使我们格外小心地审查差异,”Jump Crypto 最近开始了一项广泛的研究工作,致力于通过协调披露来发现和修补项目之间的漏洞。
该漏洞将允许攻击者通过恶意转账铸造几乎无限量的 BNB 代币,这意味着目标账户将收到比发件人最初提供的数量更多的 BNB 代币。 Jump Crypto 指出:
“允许无限铸造本机资产的错误是 Web3 中一些最严重的漏洞。 因此,这一发现证明我们所有人都必须保持警惕并进行协作,以提高所有项目的安全保证。 “
BNB 团队通过为 SDK 硬币类型切换到防溢出算法来解决这个问题。 如果硬币计算溢出,该补丁将导致 golang panic 和交易失败。
BNB Chain 是加密货币交易所 Binance 背后的原生区块链。 公司首席执行官赵长鹏感谢 Jump Crypto 的团队在 Twitter 上报告了该漏洞:
非常感谢 @跳_ 用于报告此错误。 他们有一支很棒的安全团队。 真的很感激。 https://t.co/bqidp5X3Y2
-CZ Binance(@cz_binance) 2023 年 2 月 10 日
2022年XNUMX月,BNB Chain 被短暂停职 在跨链漏洞利用价值近 80 万美元的加密货币之后。 违规的起源发生在 BSC 令牌中心,最终导致创建了一个“额外的 BNB”, 节目 Reddit 上的官方帖子。
资料来源:https://cointelegraph.com/news/jump-crypto-unveils-critical-vulnerability-on-binance-s-bnb-chain