14. február 2023-én a Hacken kutatói teszteket futtattak, és hibát azonosítottak a Binance zkSNARK-alapú Proof of Reserves rendszerben.
Hacken közzétett egy teljes jelentést az értékelésről, jelentette be a Twitterük, és azonnal értesítette a Binance csapatát a probléma megoldásáról.
Binance igazolás a készletek ellenőrzésének frissítéséről
A Binance bejelentette, hogy frissíti a készletek ellenőrzését, hogy a zk-SNARK-okat is tartalmazza. A frissítés várhatóan 10. február 2023-én javítja az ellenőrző rendszer átláthatóságát és biztonságát.
A zkSNARK-alapú igazolási rendszer A frissítés magában foglalta a zéró tudásbiztos protokollok hozzáadását is a Binance meglévő Merkle-fa kriptográfiájához. Az új funkciók kezelték a hamis számlák és negatív egyenlegek lehetőségét, valamint megőrizték a felhasználók biztonságát és magánéletét a tranzakciók során.
Korábban, Binance a sima Merkle-fa titkosítására támaszkodott a rendszer biztonsága és átláthatósága érdekében.
Különböző blokkláncok alkalmazták a Merkle-fa alapú tartalékolási rendszert, hogy növeljék az iparág átláthatóságát a az FTX bukása. A Binance emellett nyílt forráskódúvá tette a projektet, hogy az egész kriptoipar előnyére váljon, és biztosítsa a felhasználók számára a SAFU érzését.
Hiba azonosítás
A Hacken csapata végigjárta a projekt mind az 1157 függőségét, és 42 sebezhetőséget talált, amelyek közül 16 nyilvánosan kihasználható. 20 függőség súlyos, míg 20 közepes súlyosságú volt.
A súlyos sebezhetőségek közül a csapat két jelentős hiányosságot azonosított a Merkle-összeg fáján; negatív egyenleg és magánélet.
A Binance fejlesztői azonnal reagáltak a megfigyelésre zk-SNARK bizonyítékok generálásával. A bizonylatok 864 felhasználót tartalmaztak, és mindegyik egy Poseidon hash-en keresztül kapcsolódott egymáshoz.
A Hacken-kutatók ezt is felfedezték Binance igazolása a tartalékokról voltak olyan kiskapuk, amelyek lehetővé tették harmadik fél által nem észlelhető hamis felhasználói tartozások létrehozását, valamint hamis adósság létrehozásának lehetőségét.
A három biztonsági kutatóból és blokklánc-fejlesztőből álló csapat Luciano Ciattaglia vezetésével ellenőrizte a forráskódot, és olyan hibát fedezett fel a rendszerben, amely lehetővé tette a totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual) állítás megkerülését.
A csapat a hamisítás elleni védelmet úgy hozta létre, hogy a BasePrice értéket nagyon magasra állította, mivel a paraméterből hiányzott a CheckValueInRange érvényesítés, azaz a hackerek rendszerészlelés nélkül is létrehozhatnak hamis bizonyítékot. Ezzel ellentétben a BasePrice nyilvános entitás, és könnyen észlelhető, ha feltörték.
A BasePrice túlcsordulási hiba azt jelenti, hogy a BasePrice észlelés nélkül módosítható, ami csökkentheti a csere által bizonyított kötelezettségeket.
Binance válasz
Hackens felvette a kapcsolatot a Binance-szal, miután felfedezte a hibákat, amelyek ragaszkodnak a cserék átláthatóságának biztosítására irányuló elkötelezettségükhöz. A Binance fejlesztői azonnal reagáltak a hibák kijavításával és bejelentésével hivatalos Twitter fogantyú.
A Hacken fejlesztői azt javasolták, hogy a Binance adjon hozzá CheckValueInRange-et a BasePrice-hez a túlcsordulás megelőzése érdekében, amit a Binance csapata felülvizsgált, és egyesítette a Hacken kötelezettségvállalását a Binance fő ágával. A Binance kijavította az összes azonosított kritikus és közepes súlyosságú kiskapukat.
A Binance azonban nem tudja ellenőrizni a tesztek előtt generált bizonyítékok érvényességét, mivel a kritikus hibák lehetővé tették a teljes tartozás összegének megváltoztatását. A felhasználók nem tudják megerősíteni, hogy a teszt előtti bizonyítékok nem sérültek-e a biztonsági rés miatt.
A blokklánc is elismerte Hacken munkáját, mint a közösségi visszacsatolási erő kiemelkedő példáját. A Binance egy olyan platformot is biztosít, ahol a felhasználók ezt megtehetik jelenteni vagy visszajelzést adni a Binance bármelyik termékén.
Forrás: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/