Web3 基础设施公司 Jump Crypto 发现了 Binance BNB Beacon Chain 中的一个漏洞,该漏洞允许铸造无限量的任意代币。 该问题已私下披露给 BNB 团队,使补丁能够在 24 小时内开发和部署。
在 2 月 10 日的博客文章中,Jump Crypto 披露 关于两天前发现的漏洞的详细报告,这可能“导致大量资金损失”。
根据该报告,BNB 链由两个区块链组成——基于 go-ethereum 的 EVM 兼容智能链(BSC)和建立在 Tendermint 和 Cosmos SDK 之上的信标链。
但是,信标链使用托管在 GitHub 上的 BNB 分叉,并进行了一些特定于 BNB 的更改。 Jump Crypto 指出:“它在多个方面偏离了上游的 Cosmos SDK,促使我们格外小心地审查差异,”Jump Crypto 最近开始了一项广泛的研究工作,致力于通过协调披露来发现和修补项目之间的漏洞。
该漏洞将允许攻击者通过恶意转账铸造几乎无限数量的 BNB 代币,这意味着目标账户将收到比发件人最初提供的数量更多的 BNB 代币。 Jump Crypto 指出:
“允许无限铸造本机资产的错误是 web3 中一些最严重的漏洞。因此,这一发现证明我们所有人都必须保持警惕并协作以提高所有项目的安全保证。”
BNB 团队通过为 sdk.Coin 类型切换到防溢出算法方法解决了这个问题。 如果 Coin 计算溢出,补丁将导致 golang panic 和交易失败。
BNB 链是加密货币交易所 Binance 背后的原生区块链。 公司首席执行官赵长鹏感谢 Jump Crypto 的团队在 Twitter 上报告了该漏洞:
非常感谢 @跳_ 报告这个错误。 他们有一支很棒的安全团队。 真的很感激。 https://t.co/bqidp5X3Y2
— CZ 币安 (@cz_binance) 2023 年 2 月 10 日
2022年10月,BNB Chain 被短暂停职 在跨链漏洞利用价值近 8000 万美元的加密货币之后。 违规的起源发生在 BSC 令牌中心,最终导致创建了一个“额外的 BNB”, 节目 Reddit 上的官方帖子。
