التشفير

Jump Crypto يكشف عن ثغرة أمنية خطيرة في سلسلة BNB من Binance

02/13/2023
أخبار Bitcoin Ethereum

اكتشفت شركة البنية التحتية Web3 Jump Crypto ثغرة أمنية في BNB Beacon Chain ، والتي من شأنها أن تسمح بسك كمية غير محدودة من الرموز التعسفية. تم الكشف عن المشكلة بشكل خاص لفريق BNB ، مما يتيح تطوير التصحيح ونشره في غضون 24 ساعة.

في باقة مدونة في 10 فبراير ، كشفت Jump Crypto عن تقرير مفصل حول الثغرة الأمنية التي تم العثور عليها قبل يومين ، والتي كان من الممكن أن "تؤدي إلى خسارة كبيرة في الأموال".

صورة

وفقًا للتقرير ، تتكون سلسلة BNB من نوعين من سلاسل الكتل: السلسلة الذكية المتوافقة مع Ethereum Virtual Machine ، استنادًا إلى شوكة go-ethereum وسلسلة Beacon ، المبنية على قمة Tendermint و Cosmos SDK.

ومع ذلك ، تستخدم السلسلة المنارة شوكة BNB مستضافة على GitHub مع العديد من التغييرات الخاصة بـ BNB. يلاحظ Jump Crypto ، الذي بدأ مؤخرًا جهدًا بحثيًا واسعًا مكرسًا لاكتشاف الثغرات الأمنية وتصحيحها عبر المشاريع من خلال الكشف المنسق: "إنها تنحرف عن نظام Cosmos SDK المنبع بعدة طرق ، مما يحفزنا على توخي مزيد من الحذر في مراجعة الاختلافات".

ستسمح الثغرة الأمنية للمهاجم بسك كمية غير محدودة تقريبًا من الرموز المميزة لـ BNB عبر تحويل ضار ، مما يعني أن حسابات الوجهة ستتلقى عددًا أكبر بكثير من رموز BNB مما قدمه المرسل في البداية. لاحظ Jump Crypto:

"الأخطاء التي تسمح بسك غير محدود للأصول الأصلية هي بعض من أكثر نقاط الضعف خطورة في Web3. على هذا النحو ، فإن هذا الاكتشاف هو دليل على أنه يجب علينا جميعًا أن نظل يقظين وأن نتعاون لرفع ضمانات الأمان في جميع المشاريع. "

قام فريق BNB بإصلاح المشكلة عن طريق التبديل إلى الأساليب الحسابية المقاومة للتدفق الزائد لنوع العملة المعدنية SDK. سيؤدي التصحيح إلى حالة من الذعر من golang وفشل المعاملة إذا فاض حساب العملة.

BNB Chain هي سلسلة الكتل الأصلية وراء منصة تبادل العملات المشفرة Binance. شكر الرئيس التنفيذي للشركة ، Changpeng Zhao ، فريق Jump Crypto للإبلاغ عن الخطأ على Twitter:

في أكتوبر 2022 ، سلسلة BNB تم تعليقه لفترة وجيزة بعد استغلال عبر السلاسل أدى إلى اختراق ما يقرب من 80 مليون دولار من العملة المشفرة. نشأ الخرق حدث على BSC Token Hub ، مما أدى في النهاية إلى إنشاء "BNB إضافي" عروض منشور رسمي على Reddit.