Jump Crypto revela vulnerabilidade crítica na BNB Chain da Binance

A empresa de infraestrutura Web3 Jump Crypto descobriu uma vulnerabilidade no BNB Beacon Chain, que permitiria a cunhagem de uma quantidade ilimitada de tokens arbitrários. O problema foi divulgado em particular para a equipe do BNB, permitindo que um patch fosse desenvolvido e implantado em 24 horas.

Em uma postagem de blog de 10 de fevereiro, a Jump Crypto divulgou um relatório detalhado sobre a vulnerabilidade encontrada dois dias antes, o que poderia “ter levado a uma grande perda de fundos”.

De acordo com o relatório, a BNB Chain compreende duas blockchains: a Smart Chain compatível com a máquina virtual Ethereum, baseada em um fork do go-ethereum e a Beacon Chain, construída sobre Tendermint e Cosmos SDK.

No entanto, o Beacon Chain usa um fork do BNB hospedado no GitHub com várias alterações específicas do BNB. “Ele se desvia do upstream do Cosmos SDK de várias maneiras, motivando-nos a tomar cuidado extra ao revisar as diferenças”, observa Jump Crypto, que recentemente iniciou um amplo esforço de pesquisa dedicado a descobrir e corrigir vulnerabilidades em projetos por meio de divulgação coordenada.

A vulnerabilidade permitiria que um invasor criasse uma quantidade quase ilimitada de tokens BNB por meio de uma transferência maliciosa, o que significa que as contas de destino receberiam um número muito maior de tokens BNB do que o remetente forneceu inicialmente. Jump Crypto observou:

“Bugs que permitem a criação infinita de ativos nativos são algumas das vulnerabilidades mais críticas no Web3. Como tal, esta descoberta é a prova de que todos devemos permanecer vigilantes e colaborar para elevar as garantias de segurança em todos os projetos.

A equipe do BNB corrigiu o problema mudando para métodos aritméticos resistentes a estouro para o tipo de moeda SDK. O patch resultará em um golang panic e uma falha de transação se o cálculo da moeda estourar.

BNB Chain é o blockchain nativo por trás da exchange cripto Binance. O CEO da empresa, Changpeng Zhao, agradeceu à equipe da Jump Crypto por relatar o bug no Twitter:

Em outubro de 2022, a BNB Chain  foi brevemente suspensa depois que uma exploração cruzada comprometeu quase $ 80 milhões em criptomoeda. A gênese da violação ocorreu no BSC Token Hub, resultando na criação de um “BNB extra”,  mostra  um post oficial no Reddit. 

LEIA MAIS



Fonte

Related articles