Lỗ hổng bảo mật sẽ cho phép tạo ra số lượng Token tùy ý không giới hạn. Vấn đề đã được tiết lộ riêng cho nhóm BNB.
Công ty cơ sở hạ tầng Web3 Jump Crypto đã phát hiện ra một lỗ hổng trong Chuỗi báo hiệu BNB của Binance, lỗ hổng này sẽ cho phép đúc một số lượng Token tùy ý không giới hạn. Vấn đề đã được tiết lộ riêng cho nhóm BNB, cho phép một bản vá được phát triển và triển khai trong vòng 24 giờ.
Trong một bài đăng trên blog từ ngày 10 tháng 2, Jump Crypto đã tiết lộ một báo cáo chi tiết về lỗ hổng được tìm thấy hai ngày trước đó, lỗ hổng này có thể "dẫn đến một khoản tiền lớn bị mất."
Theo báo cáo, Chuỗi BNB bao gồm hai blockchain - Chuỗi thông minh tương thích EVM (BSC), dựa trên một nhánh của go-ethereum và Chuỗi Beacon, được xây dựng trên Tendermint và Cosmos SDK.
Tuy nhiên, Beacon Chain sử dụng một nhánh rẽ BNB được lưu trữ trên GitHub với một số thay đổi dành riêng cho BNB. "Nó khác với SDK Cosmos ngược dòng theo một số cách, thúc đẩy chúng tôi cẩn thận hơn trong việc xem xét sự khác biệt", Jump Crypto lưu ý, gần đây đã bắt đầu một nỗ lực nghiên cứu rộng rãi dành riêng cho việc khám phá và vá các lỗ hổng trong các dự án thông qua tiết lộ phối hợp.
Lỗ hổng sẽ cho phép kẻ tấn công đúc một số lượng gần như không giới hạn Token BNB thông qua chuyển khoản độc hại, nghĩa là tài khoản đích sẽ nhận được số lượng Token BNB lớn hơn nhiều so với số lượng Token ban đầu mà người gửi cung cấp. Jump Crypto lưu ý:
"Các lỗi cho phép khai thác vô hạn nội dung gốc là một số lỗ hổng nghiêm trọng nhất trong web3. Do đó, phát hiện này là bằng chứng cho thấy tất cả chúng ta phải luôn cảnh giác và hợp tác để nâng cao khả năng đảm bảo an ninh trong tất cả các dự án."
Nhóm BNB đã khắc phục sự cố bằng cách chuyển sang các phương pháp số học chống tràn cho loại sdk.Coin. Bản vá sẽ dẫn đến tình trạng golang hoảng loạn và giao dịch thất bại nếu tính toán Coin bị tràn.
Chuỗi BNB là blockchain gốc đằng sau nền tảng giao dịch tiền điện tử Binance. Giám đốc điều hành công ty, Changpeng Zhao, cảm ơn nhóm của Jump Crypto đã báo cáo lỗi trên Twitter:
Many thanks to @jump_ for reporting this bug. They got a great security team. Really appreciate it. https://t.co/bqidp5X3Y2
— CZ Binance (@cz_binance) February 10, 2023
Vào tháng 10 năm 2022, Chuỗi BNB đã bị tạm ngưng trong một thời gian ngắn sau khi một vụ khai thác chuỗi chéo đã làm tổn hại đến số tiền điện tử trị giá gần 80 triệu đô la. Nguồn gốc của sự phá vỡ diễn ra trên Trung tâm Token BSC, cuối cùng dẫn đến việc tạo ra thêm BNB, cho thấy một bài đăng chính thức trên Reddit.
Theo CoinTelegraph
|
Tags: Bảo mật, An ninh mạng, Hack, Chuỗi, Binance,