Jump Crypto揭示了Binance的BNB链上的严重漏洞

该安全漏洞将允许铸造无限量的任意令牌。该问题已私下披露给 BNB 团队。

Web3 基础设施公司 Jump Crypto 发现了 BNB 信标链中的一个漏洞，该漏洞允许铸造无限量的任意代币。该问题已私下披露给 BNB 团队，使补丁能够在 24 小时内开发和部署。

在2 月 10 日的一篇博文中，Jump Crypto 披露了一份关于两天前发现的漏洞的详细报告，该漏洞可能“导致大量资金损失”。

根据该报告，BNB 链包括两个区块链：基于 go-ethereum 的分叉的以太坊虚拟机兼容智能链和建立在 Tendermint 和 Cosmos SDK 之上的信标链。

但是，信标链使用托管在 GitHub 上的 BNB 分叉，并进行了一些特定于 BNB 的更改。Jump Crypto 指出：“它在几个方面偏离了 Cosmos SDK 上游，促使我们格外小心地审查差异，”Jump Crypto 最近开始了一项广泛的研究工作，致力于通过协调披露来发现和修补项目之间的漏洞。

该漏洞将允许攻击者通过恶意转账铸造几乎无限数量的 BNB 代币，这意味着目标账户将收到比发件人最初提供的数量更多的 BNB 代币。Jump Crypto 指出：

“允许无限铸造本机资产的错误是 Web3 中一些最严重的漏洞。因此，这一发现证明我们所有人都必须保持警惕并进行协作，以提高所有项目的安全保证。“

BNB 团队通过为 SDK 硬币类型切换到防溢出算法来解决这个问题。如果硬币计算溢出，该补丁将导致 golang panic 和交易失败。

BNB Chain 是加密货币交易所 Binance 背后的原生区块链。公司首席执行官赵长鹏感谢 Jump Crypto 的团队在 Twitter 上报告了该漏洞：

2022 年 10 月，在 跨链漏洞利用价值近 8000 万美元的加密货币后，BNB 链被短暂暂停。违规的起源发生在 BSC 令牌中心，最终导致创建了一个“额外的 BNB”， 显示 了 Reddit 上的官方帖子。