14. helmikuuta 2023 Hackenin tutkijat suorittivat testejä ja havaitsivat virheen Binance zkSNARK -pohjaisessa Proof of Reserves -järjestelmässä.
Hacken julkaisi täydellisen raportti arvioinnista, ilmoitti siitä heidän Twitter, ja kehotti välittömästi Binance-tiimiä ratkaisemaan ongelman.
Binance-todistus reservien vahvistuksen päivityksestä
Binance ilmoitti päivityksen varantotodistukseensa, joka sisältää zk-SNARKit. Päivityksen odotettiin lisäävän varmennusjärjestelmän läpinäkyvyyttä ja turvallisuutta 10.
- zkSNARK-pohjainen Proof of Reserves -järjestelmä päivitys sisälsi myös nollatietoprotokollan lisäämisen Binancen olemassa olevaan Merkle-puun salaukseen. Uudet ominaisuudet käsittelivät väärennettyjen tilien ja negatiivisten saldojen mahdollisuutta ja säilyttivät käyttäjien turvallisuuden ja yksityisyyden tapahtumien aikana.
Aiemmin, Binance luotti tavalliseen Merkle-puun salakirjoitukseen järjestelmän turvallisuuden ja läpinäkyvyyden vuoksi.
Useat lohkoketjut ottivat käyttöön Merkle-puuhun perustuvan varantotodistusjärjestelmän lisätäkseen alan läpinäkyvyyttä. FTX:n kaatuminen. Binance teki projektista myös avoimen lähdekoodin hyödyttääkseen koko kryptoteollisuutta ja varmistaakseen käyttäjille SAFU:n.
Virheiden tunnistaminen
Hacken-tiimi kävi läpi kaikki 1157 projektiin liittyvää riippuvuutta ja löysi 42 haavoittuvuutta, joista 16 altistettiin julkiselle hyväksikäytölle. 20 riippuvuudesta oli vakava haavoittuvuus, kun taas 20 oli keskivaikea.
Vakavista haavoittuvuuksista tiimi tunnisti Merklen summapuussa kaksi merkittävää puutetta; negatiivinen saldo ja yksityisyys.
Binance-kehittäjät vastasivat välittömästi havaintoon luomalla zk-SNARK-todistuksia. Todistukset sisälsivät 864 käyttäjän eriä, ja jokainen oli linkitetty toisiinsa Poseidon-hashhin kautta.
Myös Hackenin tutkijat löysivät tämän Binancen varantotodistus siinä oli porsaanreikiä, jotka saattoivat luoda väärennettyjä käyttäjävelkoja, joita kolmas osapuoli ei voinut havaita, ja mahdollisuuden luoda väärennettyjä velkoja.
Luciano Ciattaglian johtama kolmen tietoturvatutkijan ja blockchain-kehittäjän tiimi tarkisti lähdekoodin ja löysi järjestelmästä bugin, jonka ansiosta se pystyi ohittamaan totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual) väitteen.
Tiimi loi väärennössuojan asettamalla BasePrice-arvon erittäin korkeaksi, koska parametrista puuttui CheckValueInRange-tarkistus, eli hakkerit voivat luoda väärennetyn varmuuden ilman järjestelmän havaitsemista. Päinvastoin, BasePrice on julkinen taho, ja se on helppo havaita, kun se on vaarantunut.
BasePrice-ylivuotovirhe tarkoittaa, että BasePricea voidaan muuttaa ilman havaitsemista, mikä voi vähentää vaihtovelkoja.
Binance vastaus
Hackens otti yhteyttä Binanceen havaittuaan bugit, jotka ovat sitoutuneet varmistamaan vaihdon läpinäkyvyyden. Binance-kehittäjät vastasivat välittömästi korjaamalla virheet ja ilmoittamalla niistä virallinen Twitter-kahva.
Hackenin kehittäjät ehdottivat, että Binance lisää CheckValueInRangen BasePricen ylivuodon estämiseksi, minkä Binance-tiimi tarkasti ja yhdisti Hackenin sitoumuksen Binancen päähaaraan. Binance korjasi kaikki tunnistetut kriittiset ja keskivakavat porsaanreiät.
Binance ei kuitenkaan voi vahvistaa ennen testejä luotuja todisteita päteviksi, koska kriittiset virheet mahdollistivat velan kokonaissumman muuttamisen. Käyttäjät eivät voi vahvistaa, että mikään testiä edeltävä todiste ei ole vaarantunut haavoittuvuuden vuoksi.
Lohkoketju tunnusti myös Hackenin työn erinomaiseksi esimerkiksi yhteisön palautevoimasta. Binance tarjoaa myös alustan, jossa käyttäjät voivat raportoi tai anna palautetta missä tahansa Binancen tuotteessa.
Lähde: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/