شرکت زیرساخت Web3 Jump Crypto یک آسیبپذیری در زنجیره BNB Beacon کشف کرده است که اجازه میدهد تعداد نامحدودی از توکنهای دلخواه را برش دهد. این مشکل به صورت خصوصی برای تیم BNB فاش شد و این امکان را فراهم کرد که یک پچ در عرض 24 ساعت توسعه داده شود و مستقر شود.
در یک وبلاگ در پستی که در 10 فوریه منتشر شد، Jump Crypto گزارش مفصلی درباره آسیبپذیری که دو روز قبل پیدا شده بود، منتشر کرد که میتوانست «به از دست دادن سرمایه زیادی منجر شود».
طبق این گزارش، زنجیره BNB از دو بلاک چین تشکیل شده است: زنجیره هوشمند سازگار با ماشین مجازی اتریوم، مبتنی بر فورکی از go-ethereum و زنجیره Beacon که بر روی Tendermint و Cosmos SDK ساخته شده است.
با این حال، Beacon Chain از یک فورک BNB میزبانی شده در GitHub با چندین تغییر خاص BNB استفاده می کند. Jump Crypto، که اخیراً یک تلاش تحقیقاتی گسترده را برای کشف و اصلاح آسیبپذیریها در پروژهها از طریق افشای هماهنگ آغاز کرده است، خاطرنشان میکند: «از جهات مختلف از Cosmos SDK بالادست منحرف میشود و ما را تشویق میکند تا در بررسی تفاوتها دقت بیشتری داشته باشیم.
این آسیبپذیری به مهاجم اجازه میدهد تا مقدار تقریباً نامحدودی از توکنهای BNB را از طریق یک انتقال مخرب ضرب کند، به این معنی که حسابهای مقصد تعداد بسیار بیشتری از توکنهای BNB را نسبت به فرستنده اولیه دریافت میکنند. Jump Crypto خاطرنشان کرد:
«اشکالاتی که امکان برش بینهایت داراییهای بومی را فراهم میکنند، برخی از مهمترین آسیبپذیریهای Web3 هستند. به این ترتیب، این یافته دلیلی بر این است که همه ما باید هوشیار باشیم و برای بالا بردن تضمین های امنیتی در همه پروژه ها همکاری کنیم. "
تیم BNB با تغییر روشهای محاسباتی مقاوم در برابر سرریز برای نوع سکه SDK، مشکل را برطرف کرد. در صورت سرریز شدن محاسبات سکه، وصله منجر به وحشت گلانگ و شکست تراکنش خواهد شد.
BNB Chain، بلاک چین بومی پشت صرافی ارز دیجیتال Binance است. مدیر عامل شرکت، Changpeng Zhao، از تیم Jump Crypto برای گزارش این اشکال در توییتر تشکر کرد:
با تشکر فراوان @jump_ برای گزارش این باگ آنها یک تیم امنیتی عالی دارند. واقعا قدرش را بدان https://t.co/bqidp5X3Y2
- CZ Binance (cz_binance) فوریه 10، 2023
در اکتبر 2022، زنجیره BNB برای مدت کوتاهی تعلیق شد پس از یک اکسپلویت زنجیرهای متقابل، ارز دیجیتالی به ارزش نزدیک به ۸۰ میلیون دلار را به خطر انداخت. پیدایش نقض در BSC Token Hub اتفاق افتاد و در نهایت منجر به ایجاد یک "BNB اضافی" شد. نشان می دهد یک پست رسمی در Reddit
منبع: https://cointelegraph.com/news/jump-crypto-unveils-critical-vulnerability-on-binance-s-bnb-chain