14. gada 2023. februārī Hacken pētnieki veica testus un atklāja kļūdu uz Binance zkSNARK balstītā rezervju pierādījumu sistēmā.
Hakens publicēja pilnīgu ziņojumu par novērtējumu, paziņoja par to viņu Twitter, un nekavējoties informēja Binance komandu, lai atrisinātu problēmu.
Binance pierādījums rezervju verifikācijas jauninājumam
Binance paziņoja par rezervju apliecinājuma verifikācijas jaunināšanu, iekļaujot tajā zk-SNARK. Paredzams, ka 10. gada 2023. februārī jauninājums uzlabos verifikācijas sistēmas caurspīdīgumu un drošību.
Jūsu darbs IR Klientu apkalpošana Uz zkSNARK balstīta rezervju apliecinājuma sistēma jauninājums ietvēra arī nulles zināšanu pierādījumu protokolu pievienošanu Binance esošajai Merkle koka kriptogrāfijai. Jaunās funkcijas risināja viltus kontu un negatīvu atlikumu iespējamību, kā arī saglabāja lietotāju drošību un privātumu darījumu laikā.
Agrāk, Binance paļāvās uz vienkāršu Merkles koka kriptogrāfiju sistēmas drošībai un caurspīdīgumam.
Dažādas blokķēdes izmantoja uz Merkles koku balstīto rezervju pierādījumu sistēmu, lai palielinātu nozares pārredzamību pēc FTX kritums. Binance arī padarīja projektu atvērtu, lai gūtu labumu visai kriptovalūtu nozarei un nodrošinātu lietotājiem SAFU sajūtu.
Kļūdu identificēšana
Hacken komanda pārbaudīja visas 1157 projekta atkarības un atklāja 42 ievainojamības, no kurām 16 tika pakļautas publiskai izmantošanai. 20 atkarībām bija smaga ievainojamība, bet 20 bija vidēja smaguma pakāpe.
No nopietnajām ievainojamībām komanda konstatēja divus nozīmīgus trūkumus Merkles summas kokā; negatīvs līdzsvars un privātums.
Binance izstrādātāji nekavējoties atbildēja uz novērojumu, ģenerējot zk-SNARK pierādījumus. Korektīvie dokumenti ietvēra 864 lietotāju partijas, un katrs no tiem bija savstarpēji saistīts, izmantojot Poseidon hash.
To atklāja arī Hakena pētnieki Binance rezervju pierādījums bija nepilnības, kas ļāva radīt viltotus lietotāja parādus, ko trešā puse nevarēja noteikt, un iespēju izveidot viltotu parādu.
Trīs drošības pētnieku un blokķēdes izstrādātāju komanda, kuru vadīja Luciano Ciattaglia, pārbaudīja avota kodu un atklāja kļūdu sistēmā, kas ļāva tai apiet totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual) apgalvojumu.
Komanda izveidoja viltojumu drošu, iestatot BasePrice ļoti augstu vērtību, jo parametram trūka CheckValueInRange validācijas, ti, hakeri var izveidot viltus pierādījumu bez sistēmas noteikšanas. Pretēji tam, BasePrice ir publiska iestāde, un to ir viegli noteikt, kad tā ir apdraudēta.
BasePrice pārpildes kļūda nozīmē, ka BasePrice var mainīt bez atklāšanas, kas varētu samazināt biržā pierādītās saistības.
Binance atbilde
Hakenss sazinājās ar Binance pēc tam, kad atklāja kļūdas, kas ievēro viņu apņemšanos nodrošināt apmaiņas caurspīdīgumu. Binance izstrādātāji nekavējoties reaģēja, izlabojot kļūdas un paziņojot par tām oficiālais Twitter rokturis.
Hacken izstrādātāji ieteica Binance pievienot CheckValueInRange priekš BasePrice, lai novērstu pārpildīšanu, ko Binance komanda pārskatīja un apvienoja Hacken saistības Binance galvenajā filiālē. Binance novērsa visas identificētās kritiskās un vidējas nopietnības nepilnības.
Tomēr Binance nevar pārbaudīt, vai neviens pierādījums, kas tika ģenerēts pirms pārbaudēm, ir derīgs, jo kritiskās kļūdas ļāva manipulēt ar kopējo parāda summu. Lietotāji nevar apstiprināt, ka neviens pierādījums pirms pārbaudes nav apdraudēts ievainojamības dēļ.
Blokķēde arī atzina Hakena darbu par izcilu kopienas atgriezeniskās saites spēka piemēru. Binance nodrošina arī platformu, kurā lietotāji var ziņot vai sniegt atsauksmes uz kādu no Binance produktiem.
Avots: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/