Jump Crypto از آسیب پذیری حیاتی در زنجیره BNB بایننس پرده برداری کرد

امیر تفضلیفوریه 12, 2023

0 223 زمان تخمینی مطالعه: 2 دقیقه

Jump Crypto از آسیب پذیری حیاتی در زنجیره BNB بایننس پرده برداری کرد

شرکت زیرساخت Web3 Jump Crypto یک آسیب‌پذیری را در زنجیره BNB Beacon کشف کرده است که اجازه می‌دهد تعداد نامحدودی از توکن‌های دلخواه را استخراج کند. این مشکل به صورت خصوصی برای تیم BNB فاش شد و این امکان را فراهم کرد که یک پچ در عرض 24 ساعت توسعه داده شود و مستقر شود.

در یک پست وبلاگ از 10 فوریه، Jump Crypto گزارش مفصلی درباره آسیب‌پذیری که دو روز قبل پیدا شده بود، منتشر کرد، که می‌توانست «به از دست دادن سرمایه زیادی منجر شود».

طبق این گزارش، زنجیره BNB از دو بلاک چین تشکیل شده است: زنجیره هوشمند سازگار با ماشین مجازی اتریوم، مبتنی بر فورکی از go-ethereum و زنجیره Beacon که بر روی Tendermint و Cosmos SDK ساخته شده است.

با این حال، Beacon Chain از یک فورک BNB میزبانی شده در GitHub با چندین تغییر خاص BNB استفاده می کند. Jump Crypto که اخیراً تلاش تحقیقاتی گسترده‌ای را برای کشف و اصلاح آسیب‌پذیری‌ها در پروژه‌ها از طریق افشای هماهنگ آغاز کرده است، خاطرنشان می‌کند: «از جهات مختلف از Cosmos SDK بالادست منحرف می‌شود و ما را تشویق می‌کند تا در بررسی تفاوت‌ها دقت بیشتری داشته باشیم.

این آسیب‌پذیری به مهاجم اجازه می‌دهد تا مقدار تقریباً نامحدودی از توکن‌های BNB را از طریق یک انتقال مخرب ضرب کند، به این معنی که حساب‌های مقصد تعداد بسیار بیشتری از توکن‌های BNB را نسبت به فرستنده اولیه دریافت می‌کنند. Jump Crypto خاطرنشان کرد:

«اشکالاتی که امکان برش بی‌نهایت دارایی‌های بومی را فراهم می‌کنند، برخی از مهم‌ترین آسیب‌پذیری‌های Web3 هستند. به این ترتیب، این یافته دلیلی بر این است که همه ما باید هوشیار باشیم و برای بالا بردن تضمین های امنیتی در همه پروژه ها همکاری کنیم. ‘
تیم BNB با تغییر روش‌های محاسباتی مقاوم در برابر سرریز برای نوع سکه SDK، مشکل را برطرف کرد. در صورت سرریز شدن محاسبات سکه، وصله منجر به وحشت گلانگ و شکست تراکنش خواهد شد.

BNB Chain، بلاک چین بومی پشت صرافی ارز دیجیتال Binance است. مدیر عامل شرکت، Changpeng Zhao، از تیم Jump Crypto بخاطر گزارش این اشکال در توییتر تشکر کرد:

با تشکر فراوان از @jump_ برای گزارش این اشکال. آنها یک تیم امنیتی عالی دارند. واقعا قدرش را بدان
در اکتبر 2022، زنجیره BNB پس از اینکه یک اکسپلویت متقابل زنجیره ای نزدیک به 80 میلیون دلار ارز دیجیتال را به خطر انداخت، برای مدت کوتاهی به حالت تعلیق درآمد. یک پست رسمی در Reddit نشان می‌دهد که پیدایش نقض در BSC Token Hub رخ داد و در نهایت منجر به ایجاد یک «BNB اضافی» شد.