La empresa de infraestructura Web3, Jump Crypto, descubrió una vulnerabilidad en BNB Beacon Chain, que permitiría la acuñación de una cantidad ilimitada de tokens arbitrarios. El problema se reveló de forma privada al equipo de BNB, lo que permitió desarrollar e implementar un parche en 24 horas.
En un blog Publicación del 10 de febrero, Jump Crypto reveló un informe detallado sobre la vulnerabilidad encontrada dos días antes, que podría "haber llevado a una gran pérdida de fondos".
Según el informe, la cadena BNB comprende dos cadenas de bloques: la cadena inteligente compatible con la máquina virtual Ethereum, basada en una bifurcación de go-ethereum y la cadena Beacon, construida sobre Tendermint y Cosmos SDK.
Sin embargo, Beacon Chain usa una bifurcación BNB alojada en GitHub con varios cambios específicos de BNB. "Se desvía del SDK de Cosmos en varias formas, lo que nos motiva a tener especial cuidado al revisar las diferencias", señala Jump Crypto, que recientemente comenzó un amplio esfuerzo de investigación dedicado a descubrir y corregir vulnerabilidades en proyectos a través de la divulgación coordinada.
La vulnerabilidad permitiría que un atacante acuñara una cantidad casi ilimitada de tokens BNB a través de una transferencia maliciosa, lo que significa que las cuentas de destino recibirían una cantidad mucho mayor de tokens BNB que la que proporcionó inicialmente el remitente. Jump Crypto señaló:
“Los errores que permiten la acuñación infinita de activos nativos son algunas de las vulnerabilidades más críticas en Web3. Como tal, este hallazgo es una prueba de que todos debemos estar atentos y colaborar para elevar las garantías de seguridad en todos los proyectos. “
El equipo de BNB solucionó el problema cambiando a métodos aritméticos resistentes al desbordamiento para el tipo de moneda SDK. El parche dará como resultado un pánico golang y una falla en la transacción si el cálculo de la moneda se desborda.
BNB Chain es la cadena de bloques nativa detrás del intercambio de criptomonedas Binance. El CEO de la compañía, Changpeng Zhao, agradeció al equipo de Jump Crypto por informar el error en Twitter:
Muchas gracias a @salto_ por reportar este error. Tienen un gran equipo de seguridad. Realmente lo aprecio. https://t.co/bqidp5X3Y2
- CZ Binance (@cz_binance) Febrero 10, 2023
En octubre de 2022, la Cadena BNB fue suspendido brevemente después de que un exploit entre cadenas comprometiera casi 80 millones de dólares en criptomonedas. La génesis de la brecha tuvo lugar en BSC Token Hub, lo que eventualmente resultó en la creación de un "BNB adicional". enseñe una publicación oficial en Reddit.
Fuente: https://cointelegraph.com/news/jump-crypto-unveils-critical-vulnerability-on-binance-s-bnb-chain