-Advertisement-
La empresa de infraestructuras web3 Jump Crypto ha descubierto una vulnerabilidad en la cadena de tokens BNB de Binance, que permitiría acuñar una cantidad ilimitada de tokens arbitrarios. El problema se comunicó en privado al equipo de BNB, lo que permitió desarrollar un parche y desplegarlo en 24 horas.
En una entrada de blog del 10 de febrero, Jump Crypto reveló un informe detallado sobre la vulnerabilidad encontrada dos días antes, que podría “haber provocado una gran pérdida de fondos”.
Según el informe, la cadena BNB se compone de dos blockchains – la cadena inteligente compatible con EVM (BSC), que se basa en una bifurcación de go-ethereum y la cadena Beacon, construida sobre Tendermint y Cosmos SDK.
Sin embargo, la Beacon Chain utiliza un fork de BNB alojado en GitHub con varios cambios específicos de BNB. “Se desvía del SDK de Cosmos en varios aspectos, lo que nos motivó a tener especial cuidado en la revisión de las diferencias”, señala Jump Crypto, que recientemente inició un amplio esfuerzo de investigación dedicado a descubrir y parchear vulnerabilidades en todos los proyectos a través de la divulgación coordinada.
La vulnerabilidad permitiría a un atacante acuñar una cantidad casi ilimitada de tokens BNB a través de una transferencia maliciosa, lo que significa que las cuentas de destino recibirían un número mucho mayor de tokens BNB que el remitente inicialmente proporcionado. Jump Crypto tomó nota:
“Los errores que permiten la acuñación infinita de activos nativos son algunas de las vulnerabilidades más críticas en web3. Como tal, este hallazgo es una prueba de que todos debemos permanecer vigilantes y colaborar para elevar las garantías de seguridad en todos los proyectos.”
El equipo de BNB solucionó el problema cambiando a métodos aritméticos resistentes al desbordamiento para el tipo sdk.Coin. El parche provocará un pánico en golang y un fallo en la transacción si el cálculo de Coin se desborda.
La cadena BNB es la cadena de bloques nativa detrás de la bolsa de criptomonedas Binance. El CEO de la compañía, Changpeng Zhao, agradeció al equipo de Jump Crypto por reportar el error en Twitter:
Muchas gracias a @jump_ por informar de este fallo. Tienen un gran equipo de seguridad. Realmente se lo agradezco. https://t.co/bqidp5X3Y2
– CZ Binance (@cz_binance) 10 de febrero de 2023
En octubre de 2022, la cadena BNB se suspendió brevemente después de que un exploit en la cadena pusiera en peligro criptomonedas por valor de casi 80 millones de dólares. La génesis de la brecha tuvo lugar en el BSC Token Hub, resultando finalmente en la creación de un “BNB extra,” muestra un post oficial en Reddit.
Source: COIN TELEGRAPH