Perusahaan infrastruktur Web3, Jump Crypto, telah menemukan kerentanan di BNB Beacon Chain, yang memungkinkan pembuatan token arbitrer dalam jumlah tak terbatas. Masalah ini diungkapkan secara pribadi kepada tim BNB, memungkinkan tambalan untuk dikembangkan dan digunakan dalam waktu 24 jam.
Di sebuah blog posting dari 10 Februari, Jump Crypto mengungkapkan laporan terperinci tentang kerentanan yang ditemukan dua hari sebelumnya, yang dapat “menyebabkan hilangnya dana dalam jumlah besar.”
Sesuai laporan, Rantai BNB terdiri dari dua blockchain: Rantai Cerdas yang kompatibel dengan Mesin Virtual Ethereum, berdasarkan garpu go-ethereum dan Rantai Beacon, dibangun di atas Tendermint dan Cosmos SDK.
Namun, Beacon Chain menggunakan garpu BNB yang dihosting di GitHub dengan beberapa perubahan khusus BNB. “Ini menyimpang dari hulu Cosmos SDK dalam beberapa cara, memotivasi kami untuk lebih berhati-hati dalam meninjau perbedaan,” catat Jump Crypto, yang baru-baru ini memulai upaya penelitian luas yang didedikasikan untuk menemukan dan menambal kerentanan di seluruh proyek melalui pengungkapan terkoordinasi.
Kerentanan akan memungkinkan penyerang untuk mencetak token BNB dalam jumlah yang hampir tidak terbatas melalui transfer jahat, yang berarti bahwa akun tujuan akan menerima jumlah token BNB yang jauh lebih besar daripada yang awalnya disediakan oleh pengirim. Jump Crypto mencatat:
“Bug yang memungkinkan pencetakan aset asli tanpa batas adalah beberapa kerentanan paling kritis di Web3. Dengan demikian, temuan ini menjadi bukti bahwa kita semua harus tetap waspada dan berkolaborasi untuk meningkatkan jaminan keamanan di semua proyek. “
Tim BNB memperbaiki masalah ini dengan beralih ke metode aritmatika tahan luapan untuk jenis koin SDK. Patch akan mengakibatkan golang panic dan gagal transaksi jika perhitungan coin meluber.
BNB Chain adalah blockchain asli di balik crypto exchange Binance. CEO perusahaan, Changpeng Zhao, berterima kasih kepada tim Jump Crypto karena melaporkan bug di Twitter:
Banyak terima kasih kepada @melompat_ untuk melaporkan bug ini. Mereka punya tim keamanan yang hebat. Sangat menghargai itu. https://t.co/bqidp5X3Y2
- CZ Binance (@cz_binance) Februari 10, 2023
Pada Oktober 2022, BNB Chain sempat ditangguhkan sebentar setelah eksploitasi lintas rantai mengkompromikan cryptocurrency senilai hampir $80 juta. Asal usul pelanggaran terjadi di BSC Token Hub, yang akhirnya menghasilkan pembuatan "BNB ekstra," menunjukkan pos resmi di Reddit.
Sumber: https://cointelegraph.com/news/jump-crypto-unveils-critical-vulnerability-on-binance-s-bnb-chain