Web3 infrastruktūros įmonė „Jump Crypto“ aptiko BNB švyturių grandinės pažeidžiamumą, kuris leistų kaldinti neribotą kiekį savavališkų žetonų. Problema buvo privačiai atskleista BNB komandai, todėl pataisą buvo galima sukurti ir įdiegti per 24 valandas.
A Dienoraštis vasario 10 d. paskelbtame pranešime „Jump Crypto“ atskleidė išsamią ataskaitą apie prieš dvi dienas rastą pažeidžiamumą, dėl kurio „galėjo būti prarasta daug lėšų“.
Kaip teigiama ataskaitoje, BNB grandinę sudaro dvi blokų grandinės: su Ethereum virtualia mašina suderinama išmanioji grandinė, pagrįsta go-ethereum šakute, ir švyturių grandinė, sukurta ant Tendermint ir Cosmos SDK.
Tačiau „Beacon Chain“ naudoja BNB šakutę, esančią „GitHub“, su keliais konkrečiais BNB pakeitimais. „Jis nukrypsta nuo Cosmos SDK keliais atžvilgiais, todėl mus skatina būti ypač atsargiems peržiūrint skirtumus“, – pažymi „Jump Crypto“, kuri neseniai pradėjo plačias mokslinių tyrimų pastangas, skirtas atrasti ir pataisyti projektų pažeidžiamumą koordinuotai atskleidžiant informaciją.
Pažeidžiamumas leistų užpuolikui nukalti beveik neribotą kiekį BNB žetonų per kenkėjišką perkėlimą, o tai reiškia, kad paskirties paskyros gautų daug daugiau BNB žetonų nei siuntėjas iš pradžių pateikė. Jump Crypto pažymėjo:
„Klaidos, leidžiančios be galo kalti vietinį turtą, yra viena iš svarbiausių Web3 spragų. Taigi ši išvada yra įrodymas, kad mes visi turime išlikti budrūs ir bendradarbiauti, kad padidintume visų projektų saugumą. “
BNB komanda išsprendė problemą pereidama prie perpildymui atsparių aritmetinių metodų SDK monetų tipui. Pleistras sukels golango paniką ir operacijos nesėkmę, jei monetos skaičiavimas bus perpildytas.
„BNB Chain“ yra vietinė „blockchain“, esanti už kriptovaliutų biržos „Binance“. Bendrovės generalinis direktorius Changpeng Zhao padėkojo „Jump Crypto“ komandai už pranešimą apie klaidą „Twitter“:
Labai ačiū @šokinėti_ už pranešimą apie šią klaidą. Jie turi puikią apsaugos komandą. Tikrai vertinu. https://t.co/bqidp5X3Y2
- CZ Binance (@cz_binance) Vasaris 10, 2023
2022 m. spalio mėn. BNB grandinė buvo trumpam sustabdytas po to, kai per kryžminę grandinę buvo pažeista beveik 80 milijonų dolerių vertės kriptovaliuta. Pažeidimas įvyko „BSC Token Hub“, todėl galiausiai buvo sukurtas „papildomas BNB“, rodo oficialus įrašas Reddit.
Šaltinis: https://cointelegraph.com/news/jump-crypto-unveils-critical-vulnerability-on-binance-s-bnb-chain