Pe 14 februarie 2023, cercetătorii Hacken au efectuat teste și au identificat o eroare în sistemul Proof of Reserves bazat pe Binance zkSNARK.
Hacken a publicat un complet raport asupra evaluării, a anunțat-o pe Twitter-ul lorși a informat imediat echipa Binance să rezolve problema.
Upgrade de verificare a dovadă a rezervelor Binance
Binance a anunțat o actualizare la verificarea dovadă a rezervelor pentru a include zk-SNARK. Upgrade-ul era de așteptat să sporească transparența și securitatea sistemului de verificare pe 10 februarie 2023.
Sistemul Proof of Reserves bazat pe zkSNARK upgrade-ul a inclus, de asemenea, adăugarea de protocoale cu dovezi zero cunoștințe la criptografia în arbore Merkle existentă a Binance. Noile caracteristici au abordat posibilitatea de a avea conturi false și solduri negative și au păstrat siguranța și confidențialitatea utilizatorilor în timpul tranzacțiilor.
Anterior, Binance s-a bazat pe criptografia simplă a arborelui Merkle pentru siguranța și transparența sistemului.
Diverse blockchain-uri au adoptat sistemul de verificare a rezervelor bazat pe arborele Merkle pentru a crește transparența industriei după căderea FTX. Binance a făcut, de asemenea, proiectul open source pentru a beneficia întreaga industrie cripto și pentru a asigura utilizatorilor să se simtă SAFU.
Identificarea erorilor
Echipa Hacken a trecut prin toate cele 1157 de dependențe ale proiectului și a găsit 42 de vulnerabilități, dintre care 16 expuse exploatării publice. 20 de dependențe au avut o vulnerabilitate severă, în timp ce 20 au avut o gravitate medie.
Dintre vulnerabilitățile severe, echipa a identificat două deficiențe semnificative ale arborelui sumei Merkle; echilibru negativ și intimitate.
Dezvoltatorii Binance au răspuns imediat la observație generând dovezi zk-SNARK. Dovezile au conținut loturi de 864 de utilizatori, fiecare dintre ele fiind interconectat printr-un hash Poseidon.
Cercetătorii Hacken au descoperit și asta Dovada rezervelor de la Binance a avut lacune care ar putea permite generarea de datorii false ale utilizatorilor nedetectabile de către o terță parte și posibilitatea de a crea datorii false.
Echipa de trei cercetători în securitate și dezvoltatori de blockchain condusă de Luciano Ciattaglia a verificat codul sursă și a descoperit un bug în sistem care i-a permis să ocolească afirmația totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual).
Echipa a creat o dovadă contrafăcută setând BasePrice la o valoare foarte mare, deoarece parametrului îi lipsește o validare CheckValueInRange, adică hackerii pot crea dovezi false fără detectarea sistemului. Dimpotrivă, BasePrice este o entitate publică și este ușor de detectat când este compromis.
Bug-ul de depășire a prețului de bază înseamnă că s-ar putea schimba prețul de bază fără a fi detectat, ceea ce ar putea reduce datoriile dovedite la schimb.
Răspunsul Binance
Hackens a contactat Binance după ce a descoperit erorile care aderă la dedicarea lor de a asigura transparența schimburilor. Dezvoltatorii Binance au răspuns imediat reparând erorile și anunțând asupra lor mâner oficial Twitter.
Dezvoltatorii lui Hacken au sugerat ca Binance să adauge CheckValueInRange pentru BasePrice pentru a preveni depășirea, pe care echipa Binance a revizuit și a fuzionat angajamentul lui Hacken în filiala principală a Binance. Binance a remediat toate lacunele critice și de severitate medie identificate.
Cu toate acestea, Binance nu poate verifica nicio dovadă generată înainte de teste ca fiind valabilă, deoarece erorile critice au permis modificarea sumei totale a datoriei. Utilizatorii nu pot confirma că nicio dovadă înainte de testare nu este compromisă din cauza vulnerabilității.
Blockchain-ul a recunoscut, de asemenea, munca lui Hacken ca un exemplu remarcabil al puterii feedback-ului comunității. Binance oferă, de asemenea, o platformă în care utilizatorii pot raportați sau oferiți feedback pe oricare dintre produsele Binance.
Sursa: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/