●トークンの無限鋳造を可能にする脆弱性

Ｗｅｂ３領域でインフラ開発や投資を行うＪｕｍｐ　Ｃｒｙｐｔｏは１０日、大手暗号資産（仮想通貨）取引所バイナンスの提供するＢＮＢチェーン上に発見された脆弱性について報告した。

発見された脆弱性は、悪意ある者が任意のトークンを無制限に鋳造することを可能にするもので、万が一悪用された場合、大規模な資金の不正流出につながるリスクがあったと見られる。

Ｊｕｍｐ　Ｃｒｙｐｔｏは、この問題について公にする前にＢＮＢチェーンの開発チームに通知。その後、ＢＮＢチームは即時対応を行い、２４時間以内に修正を完了した。脆弱性の悪用は確認されておらず、間一髪未然に不正だ格好だ。

バイナンスのチャンポン・ジャオ（ＣＺ）ＣＥＯもバグの報告に「大変感謝している」とツイートした。

ビーコンチェーンに脆弱性
ＢＮＢチェーンは２つのブロックチェーンで構成されている。イーサリアム仮想マシン（ＥＶＭ）互換のスマートチェーン（ＢＳＣ）と、ＴｅｎｄｅｒｍｉｎｔとＣｏｓｍｏｓ　ＳＤＫの上に構築されているビーコンチェーン（ＢＣ）だ。

Ｊｕｍｐ　Ｃｒｙｐｔｏは、脆弱性はガバナンスやステーキングの機能を持つビーコンチェーンで見つかったと述べている。

脆弱性は、攻撃者が送金の際にほぼ無制限にＢＮＢトークンを鋳造することを可能にするものだった。つまり、送金先のアカウントは、送金者が最初に設定した量をはるかに超えるトークンを受け取ることができるようになってしまう。

Ｊｕｍｐ　Ｃｒｙｐｔｏは、ビーコンチェーンでは元々のＣｏｓｍｏｓ　ＳＤＫにＢＮＢチームによる変更が加えられており、これを注意して調査したと説明している。

具体的には、ＢＮＢチームは分散型取引所（ＤＥＸ）のパフォーマンスを向上させるため、Ｃｏｓｍｏｓ　ＳＤＫが資産を処理するために使用するデータ型「Ｃｏｉｎ」を変更していた。このことが、ほぼ資産を無制限に鋳造できてしまう脆弱性につながっていた。ＢＮＢチームは何度もリスクチェックを行っていたが、今回の脆弱性については見逃していた形だ。

ＢＮＢチームは指摘を受けこれを修正。資産の過度な鋳造があった場合には、トランザクション自体が成立しないように設定を完了している。

Ｊｕｍｐ　Ｃｒｙｐｔｏで脆弱性リサーチを担当しているフェリックス・ヴィルヘルム氏は、次のようにコメントした。

"ネイティブトークンの無限鋳造を可能にするバグは、Ｗｅｂ３における最も重大な脆弱性の一つだ。今回の発見は、私たち全員が警戒を怠らず、すべてのプロジェクトでセキュリティ保証を高めるために協力していかなければならないことを示している。"

――過去に不正鋳造も

ＢＮＢチェーンは２０２２年１０月、ハードフォークによるアップグレード「Ｍｏｒａｎ」を実行している。不正流出が発生したことを受けて、安全性を強化するアップグレードだった。この流出でユーザーの資産は影響を受けなかったものの、攻撃者はクロスチェーンブリッジのバグを利用し、ＢＮＢを不正に鋳造・盗難していた。

（イメージ写真提供：１２３ＲＦ）

https://coinpost.jp/?p=432821

CoinPostに掲載された記事を、許可を得て転載しています。

最新記事
ランキングページ
ビットコイン詳細ページ
イーサ詳細ページ
ＸＲＰ詳細ページ