幣安支持的 BNB 鏈在日前傳出,隱含一個攻擊者可以「無限鑄幣」的安全漏洞,所幸 Jump Crypto 在發現後已立即回報,官方在 24 小時內修補該漏洞,並未發生攻擊和資金損失。
(前情提要:幣安、孫宇晨合作達成!波場USDT「提領手續費」恢復先前水平)
(背景補充:幣安秘密招集「加密聯盟」當盟主,已有數間交易所、項目加入力捧 )
最大的加密貨幣交易所幣安(Binance)創辦人 CZ,在 10 日下午發推宣布:「非常感謝 Jump Crypto
回報安全漏洞,他們有一個很好的安全團隊。」
原來是因為,加密貨幣做市商 Jump Crypto 上週末發佈一篇文章表示,他們發現 BNB Beacon Chain (BNB 鏈的治理與質押層) 一個漏洞,攻擊者可以藉此在 BNB 鏈上鑄造無限數量的任意代幣。所幸 Jump Crypto 已私下向 BNB 鏈團隊提出警告,他們也已在 24 小時內修補該漏洞,並未發生惡意攻擊、也沒有損失任何資金。
Many thanks to @jump_ for reporting this bug. They got a great security team. Really appreciate it. https://t.co/bqidp5X3Y2
— CZ 🔶 BNB (@cz_binance) February 10, 2023
Jump Crypto:BNB 鏈某些技術,提高了漏洞可能性
我們知道,允許無限鑄造任何代幣是一個非常嚴重的漏洞,尤其 BNB 鏈是目前廣泛受到用戶愛用的公鏈。據 Jump Crypto 文章說明 BNB 鏈的技術結構有點獨特,它由兩個區塊鏈組成,一個是基於 go-ethereum 的 EVM 兼容 BSC 智能合約鏈 ,另一個是 Tendermint 和 Cosmos SDK 構成的 Beacon Chain (BC)。
然而,BNB 鏈的 Beacon Chain 並沒有沿用 Cosmos SDK 的上游版本,而是使用託管在 GitHub 上、具有幾個特定於 BNB 的修改分叉版,它在幾個方面偏離了 Cosmos SDK 的上游版本,因此促使他們在審查時格外小心。
我們聯繫了 BNB 核心團隊,他們強調選擇原始類型是一個艱難的權衡決定,以提高過去在 BNB 信標鏈上運行的 DEX 的性能。
BNB 核心團隊應用了幾輪安全盡職調查來排除任何安全問題,但錯過了這個特定實例。鑑於這些性能要求不再適用,他們正在努力於其程式庫中實施安全包裝器。
📍相關報導📍
土耳其強震救援》罹難達 8,400 人,幣安空投受災戶每人100美元BNB