WebX完全ガイド
TOP 新着一覧 取引所 WebX
CoinPostで今最も読まれています

BNBチェーン、無限鋳造リスクのある「深刻な脆弱性」を修正

画像はShutterstockのライセンス許諾により使用

トークンの無限鋳造を可能にする脆弱性

Web3領域でインフラ開発や投資を行うJump Cryptoは10日、大手暗号資産(仮想通貨)取引所バイナンスの提供するBNBチェーン上に発見された脆弱性について報告した。

発見された脆弱性は、悪意ある者が任意のトークンを無制限に鋳造することを可能にするもので、万が一悪用された場合、大規模な資金の不正流出につながるリスクがあったと見られる。

Jump Cryptoは、この問題について公にする前にBNBチェーンの開発チームに通知。その後、BNBチームは即時対応を行い、24時間以内に修正を完了した。脆弱性の悪用は確認されておらず、間一髪未然に不正だ格好だ。

バイナンスのチャンポン・ジャオ(CZ)CEOもバグの報告に「大変感謝している」とツイートした。

ビーコンチェーンに脆弱性

BNBチェーンは2つのブロックチェーンで構成されている。イーサリアム仮想マシン(EVM)互換のスマートチェーン(BSC)と、TendermintとCosmos SDKの上に構築されているビーコンチェーン(BC)だ。

Jump Cryptoは、脆弱性はガバナンスやステーキングの機能を持つビーコンチェーンで見つかったと述べている。

脆弱性は、攻撃者が送金の際にほぼ無制限にBNBトークンを鋳造することを可能にするものだった。つまり、送金先のアカウントは、送金者が最初に設定した量をはるかに超えるトークンを受け取ることができるようになってしまう。

Jump Cryptoは、ビーコンチェーンでは元々のCosmos SDKにBNBチームによる変更が加えられており、これを注意して調査したと説明している。

具体的には、BNBチームは分散型取引所(DEX)のパフォーマンスを向上させるため、Cosmos SDKが資産を処理するために使用するデータ型「Coin」を変更していた。このことが、ほぼ資産を無制限に鋳造できてしまう脆弱性につながっていた。BNBチームは何度もリスクチェックを行っていたが、今回の脆弱性については見逃していた形だ。

BNBチームは指摘を受けこれを修正。資産の過度な鋳造があった場合には、トランザクション自体が成立しないように設定を完了している。

Jump Cryptoで脆弱性リサーチを担当しているフェリックス・ヴィルヘルム氏は、次のようにコメントした。

ネイティブトークンの無限鋳造を可能にするバグは、Web3における最も重大な脆弱性の一つだ。今回の発見は、私たち全員が警戒を怠らず、すべてのプロジェクトでセキュリティ保証を高めるために協力していかなければならないことを示している。

Web3とは

現状の中央集権体制のウェブをWeb2と定義し、ブロックチェーン等を用いて非中央集権型のネットワークを実現する試みを指す。代表的な特徴は、仮想通貨ウォレットを利用したdAppsへのアクセスなど、ブロックチェーンをはじめとする分散型ネットワークのユースケースがある。

▶️仮想通貨用語集

過去に不正鋳造も

BNBチェーンは2022年10月、ハードフォークによるアップグレード「Moran」を実行している。不正流出が発生したことを受けて、安全性を強化するアップグレードだった。この流出でユーザーの資産は影響を受けなかったものの、攻撃者はクロスチェーンブリッジのバグを利用し、BNBを不正に鋳造・盗難していた。

関連BNBチェーン、ハードフォークを実施 不正流出受けブリッジの安全性を強化

クロスチェーンとは

規格・仕様の異なるブロックチェーン同士を跨ぐこと、及びそれらを接続する技術を指す。

▶️仮想通貨用語集

CoinPost App DL
厳選・注目記事
注目・速報 市況・解説 動画解説 新着一覧
07/03 金曜日
06:10
セキュリタイズが米NYSE上場、自社株を初日にトークン化
RWAトークン化大手のセキュリタイズが2日、米NYSEに上場し、上場当日に自社の普通株式をソラナ上とアバランチでトークン化した。株主参加規模に基づき世界最大の株式トークンとなる。
05:55
ストラテジーのビットコイン売却方針、価格変動リスクを拡大=JPモルガン
JPモルガンは2日、ストラテジーのビットコイン売却方針が仮想通貨市場に回避可能な双方向リスクをもたらすと指摘した。現行約17ヶ月分の現金準備金を24〜36ヶ月分に拡充するよう求めている。
05:00
SBIクリプト、ビットコインマイニングプールを7月末に終了
SBIグループ傘下のSBIクリプトは2日、ビットコインマイニングプールを7月31日に終了すると発表した。ネットワーク全体の約2.2%のハッシュレートを占める同プールは2021年の開設から約5年で閉鎖となる。
07/02 木曜日
17:43
バイナンス小口ビットコイン流入、1日平均329BTCで過去最低に=アナリスト
オンチェーンアナリストのDarkfost氏が、バイナンスにおける1BTC未満の小口流入を分析。1日平均329BTCとなり過去最低水準に、2021年の2690BTC、2018年の3700BTCから大幅減少。リテール層減少の背景を読む。
17:04
JCBA、ウォレット・AI部会を設立 37社が参加
JCBAが「ウォレット・AI部会」を新設し、37社51名が参加。ノンカストディアルウォレットとAI統合ウォレットの利用者保護基準、責任分界、申告分離課税の論点整理を進める。
16:19
メタプラネット、ビットコイン保有43000BTC到達 Q2に2823BTC取得
メタプラネットが2026年12月期第2四半期のビットコイン取得状況を公表。43,000BTC保有に至るまでの2,823BTC取得や平均取得価格の推移、BTCイールド6.6%などの主要指標を解説する。
15:22
大阪府、AI・ブロックチェーン実証実験に補助金 上限1000万円
大阪府が先駆的金融市場等形成支援事業補助金の公募を開始した。ブロックチェーンやAI等を用いた金融サービスの実証実験が対象で、補助上限は1件あたり1000万円。公募期間や対象要件、補助率を解説する。
14:37
Kウェーブ・メディア、ビットコイン保有ゼロに 1万BTC目標から転換
Kウェーブ・メディアが保有する全ビットコインを売却し、財務戦略を一時停止した。2025年に掲げた1万BTC取得目標は達成前に撤回され、AIインフラ事業へ軸足を移す。売却の経緯をSEC提出書類をもとに整理する。
13:55
MiCA全面施行、EUでポーランドのみ未対応 仮想通貨企業2000社が認可なしで窮地に
2026年7月1日のMiCA全面施行に伴い、ポーランドのみが国内法制化に至らず、規制の空白状態となっている。同国内約2,000社の仮想通貨事業者は自国でのCASP認可取得手段を失い、他国でのライセンス取得か事業撤退の選択を迫られている。
13:05
仮想通貨ハッキング被害額、6月は120億円で前月比7%減少 ヒューマニティプロトコルが最大
ペックシールドの報告によると、6月の仮想通貨ハッキング被害は40件・約7,590万ドルで前月比7%減となった。最大被害はヒューマニティプロトコルからの流出だ。
11:48
仮想通貨大手306億円相当の中間選挙献金、米政治団体で首位に
仮想通貨業界が2026年米中間選挙の政治献金で総額1億8900万ドルに達し、全業種で最大の献金主体になったと米パブリック・シチズンが報告。リップル・コインベース・クリプトコムが主導し、AI業界も同様の手法で追随している。
11:00
サークルCEOがOUSDの優位性主張に反論、有識者「DAOと同じ末路」と懸念
140社超が支援するOUSDの登場を受け、ステーブルコイン大手サークルのCEOがコンソーシアム型モデルの限界を公開反論。米系証券各社はUSDCの競争優位が維持されるとの見方を示した。
10:42
スクウェア・エニックス、脱炭素アプリにブロックチェーン採用
スクウェア・エニックスとENECHANGEが脱炭素アクションを促す新アプリを共同開発。ミッション達成でポイントを得るゲーム設計とし、データ管理にはブロックチェーン「Oasys」を採用する。サービス開始は2026年内を予定。
09:48
イーサリアム財団、政府・機関向けガイド公開 中立性を強調
イーサリアム財団が政府・機関向けに、中立なインフラとしてのイーサリアムを解説する報告書を公開。稼働実績や経済的セキュリティなどOpenZeppelinの客観的指標をもとに他ブロックチェーンとの違いを示している。
09:45
ビットコイン、買い集め広がるもリスク残存 底打ちの確証なし=グラスノード
グラスノードが仮想通貨市場週間レポートを発表。ビットコイン下落局面でも買い集める層が広がる一方、ETF資金流出やレバレッジロング積み上がりなど不安要素も残ると分析した。
今から始める仮想通貨特集
通貨データ
重要指標
一覧
新着指標
一覧