La empresa de infraestructura World wide web3, Leap Crypto, descubrió una vulnerabilidad en Binance BNB Beacon Chain, que permitiría la acuñación de una cantidad ilimitada de tokens arbitrarios. El problema se reveló de forma privada al equipo de BNB, lo que permitió desarrollar e implementar un parche en 24 horas.
En una publicación de weblog del 10 de febrero, Soar Crypto reveló un informe detallado sobre la vulnerabilidad encontrada dos días antes, que podría «haber provocado una gran pérdida de fondos».
Según el informe, la cadena BNB se compone de dos cadenas de bloques: la cadena inteligente appropriate con EVM (BSC), que se basa en una bifurcación de go-ethereum y la cadena Beacon, construida sobre Tendermint y Cosmos SDK.
Sin embargo, Beacon Chain united states una bifurcación BNB alojada en GitHub con varios cambios específicos de BNB. «Se desvía del Cosmos SDK upstream de varias maneras, lo que nos motiva a tener mucho cuidado al revisar las diferencias», señala Bounce Crypto, que recientemente comenzó un amplio esfuerzo de investigación dedicado a descubrir y parchear vulnerabilidades en todos los proyectos a través de la divulgación coordinada.
La vulnerabilidad permitiría que un atacante acuñara una cantidad casi ilimitada de tokens BNB a través de una transferencia maliciosa, lo que significa que las cuentas de destino recibirían una cantidad mucho mayor de tokens BNB que la que proporcionó inicialmente el remitente. Leap Crypto señaló:
«Los errores que permiten la acuñación infinita de activos nativos son algunas de las vulnerabilidades más críticas en world wide web3. Como tal, este hallazgo es una prueba de que todos debemos estar atentos y colaborar para elevar las garantías de seguridad en todos los proyectos».
El equipo de BNB solucionó el problema cambiando a métodos aritméticos resistentes al desbordamiento para el tipo sdk.Coin. El parche dará como resultado un pánico de golang y una falla en la transacción si el cálculo de la moneda se desborda.
La cadena BNB es la cadena de bloques nativa detrás del intercambio de criptomonedas Binance. El CEO de la compañía, Changpeng Zhao, agradeció al equipo de Leap Crypto por informar el mistake en Twitter:
En octubre de 2022, la cadena BNB se suspendió brevemente después de que un exploit entre cadenas comprometiera casi 80 millones de dólares en criptomonedas. La génesis de la brecha tuvo lugar en BSC Token Hub, lo que eventualmente resultó en la creación de un «BNB adicional», muestra una publicación oficial en Reddit.
