这个安全漏洞将允许任何令牌无限铸造。这个问题已经私下披露给我了。 BNB 团队。
Web3 基础设施公司 Jump Crypto 发现了 BNB 信标链中的一个漏洞允许铸造无限的任何代币。这个问题已经私下披露给私人了 BNB 团队,让补丁可以在那里 24 小时内开发部署。
在2 月 10 在一篇日本博文中,Jump Crypto 披露了两天前发现的漏洞的详细报告,可能会“造成大量资金损失”。
根据报告,BNB 基于两个区块链的链: go-ethereum 以太坊虚拟机与智能链兼容,基于分叉 Tendermint 和 Cosmos SDK 上面的信标链。
然而,信标链正在使用托管 GitHub 上的 BNB 并进行了一些特定的分叉 BNB 的更改。Jump Crypto 指出:“它偏离了几个方面 Cosmos SDK 上游,促使我们特别仔细地审查差异,”Jump Crypto 最近开始了一项广泛的研究工作,致力于通过协调披露来发现和修复项目之间的漏洞。
这个漏洞将允许攻击者通过恶意转账铸造几乎无限的数量 BNB 这意味着目标账户将收到比发件人最初提供的更多的代币 BNB 代币。Jump Crypto 指出:
“允许无限铸造本机资产的错误是 Web3 一些最严重的漏洞。因此,这一发现证明了我们所有人都必须保持警惕和合作,以提高所有项目的安全性。”
BNB 团队通过为 SDK 硬币类型切换到防溢算法来解决这个问题。如果硬币计算溢出,补丁将导致 golang panic 和交易失败。
BNB Chain 是加密货币交易所 Binance 原生区块链背后。公司首席执行官赵长鹏感谢 Jump Crypto 的团队在 Twitter 报告了漏洞:
2022 年 10 月,在 跨链漏洞利用价值近 8000 加密货币1万美元后,BNB 链条被暂停。违规行为的起源发生在 BSC 最终,令牌中心创建了一个“额外” BNB”, 显示 了 Reddit 官方帖子。