No mercado de criptomoedas, segurança é primordial. Mas apesar das muitas medidas implementadas para proteger os ativos digitais, ainda há vulnerabilidades. O caso mais recente diz respeito à Binance Smart Chain (BNB). Segundo um alerta da gigante de trading Jump Crypto, uma vulnerabilidade da BNB pode ter levado a uma “grande perda de fundos”.
Esta ameaça potencial destacou mais uma vez a necessidade de vigilância constante no mundo das criptomoedas e a importância de compreender os riscos e vulnerabilidades potenciais presentes.
Neste artigo, apresentamos análises sobre a vulnerabilidade da BNB e o que ela significa para o mundo mais amplo do comércio de criptomoedas.
Análise da vulnerabilidade da BNB Chain
Em 10 de fevereiro, a empresa de trading Jump Crypto, uma das maiores do mercado, postou no blog uma análise completa da vulnerabilidade descoberta no BNB Chain dois dias antes, o que poderia “ter resultado em uma perda maciça de fundos”.
A equipe de Jump Crypto, empresa de infraestrutura de inicialização da Web3, descobriu que a Binance BNB Beacon Chain poderia ter permitido a criação de um número ilimitado de tokens arbitrários.
Após informar a equipe do BNB em particular, um patch foi rapidamente desenvolvido e distribuído para resolver o problema.
Com o título “Helping secure BNB Chain through responsible disclosure”, a equipe de Jump Crypto divulgou um relatório detalhando o incidente. A empresa explicou a divulgação como parte dos esforços para melhorar as medidas de segurança no setor de criptomoedas.
A Jump Crypto tem monitorado ativamente várias redes para identificar e resolver vulnerabilidades através de divulgação coordenada. No decorrer dessas investigações, foram identificados vários bugs de cunhagem na cadeia BNB.
Conforme o relatório, a BNB Chain compreende duas blockchains: a compatível EVM Smart Chain (BSC), que é baseada em um fork de go-ethereum e a Beacon Chain (BC), construída sobre Tendermint e Cosmos SDK. Entretanto, devido à complexa estrutura tecnológica da BNB Chain, a detecção de vulnerabilidades pode ser um desafio.
A Beacon Chain utiliza um fork BNB no GitHub com múltiplas modificações específicas de BNB. Além disso, ela se desvia do Cosmos SDK de várias maneiras, o que levou Jump Crypto a examinar cuidadosamente as diferenças. No relatório, a equipe de analistas explica:
“Em uma arquitetura algo nova, a BNB Chain é composta por duas blockchains: a compatível EVM Smart Chain (BSC), que é baseada em um fork de go-ethereum e a Beacon Chain (BC), construída sobre Tendermint e Cosmos SDK. Curiosamente, a Beacon Chain não segue a versão upstream de Cosmos SDK, mas utiliza um fork BNB hospedado em GitHub. Esta versão bifurcada contém várias mudanças específicas da BNB. Ela se desvia de Cosmos SDK upstream de várias maneiras, motivando-nos a ter um cuidado extra na revisão das diferenças.”
Além disso, a vulnerabilidade identificada teria permitido a um atacante produzir uma quantidade virtualmente ilimitada de tokens BNB por meio de uma transferência fraudulenta, levando as contas receptoras a receberem um número consideravelmente maior de tokens BNB do que a quantidade original enviada pelo remetente.
No relatório, a equipe de Jump Crypto explica que a BNB Chain foi informada sobre a vulnerabilidade da cadeia:
“A equipe principal da BNB aplicou várias rodadas de due diligence de segurança para descartar quaisquer problemas de transbordo, mas perdeu este caso em particular. Dado que estes requisitos de desempenho não se aplicam mais, eles estão trabalhando para implementar o invólucro seguro através de sua base de código.”
Resolução da vulnerabilidade da BNB Chain pela equipe BNB
Changpeng “CZ” Zhao, o CEO da Binance, expressou seu agradecimento à equipe de segurança de Jump Crypto no mesmo dia 10/02, pelo que chamou “papel na identificação de uma vulnerabilidade” na cadeia BNB.
CZ respondeu a um tweet de V, que é o cientista-chefe da BNB Chain. Segundo V, a equipe de segurança da Jump Crypto relatou uma vulnerabilidade à Binance na rede da blockchain.
Many thanks to @jump_ for reporting this bug. They got a great security team. Really appreciate it. https://t.co/bqidp5X3Y2
— CZ 🔶 Binance (@cz_binance) February 10, 2023
V mencionou que a equipe forense da blockchain tratou do assunto de forma profissional.
Além disso, Changpeng Zhao confirmou que sua equipe resolveu o problema assegurando que qualquer transbordo no cálculo de BNB levaria a uma falha na transação. A equipe de BNB resolveu o problema implementando algoritmos aritméticos resistentes ao transbordamento para o tipo sdk.Coin.
Caso o cálculo da moeda ultrapasse devido ao patch, Golang desencadeará um alerta de pânico e a transação falhará.
Como explicado pela equipe de Jump Crypto, bugs que permitem a cunhagem infinita de ativos nativos são algumas das vulnerabilidades mais críticas na web3. Daí a importância desta descoberta, como prova de que a vigilância e a colaboração são pontos fundamentais ao desenvolvimento do mercado de criptomoedas.
A descoberta da vulnerabilidade ressalta a importância do trabalho em equipe no setor de criptomoedas, como destaca o relatório de Jump Crypto:
“Acreditamos na promessa da web3 e estamos trabalhando duro para construir e promover sistemas mais seguros, escaláveis e úteis no espaço. É por isso que, ao longo do último ano, temos construído uma equipe de segurança dedicada trabalhando 24 horas por dia, conduzindo pesquisas centrais e estamos trabalhando com equipes para fortalecer a segurança de todo o ecossistema.”