14. februarja 2023 so Hacknovi raziskovalci izvedli teste in odkrili napako v sistemu Proof of Reserves, ki temelji na Binance zkSNARK.
Hacken je objavil celotno poročilo o oceni, je to objavil na njihov Twitter, in takoj obvestil ekipo Binance, da reši težavo.
Binance dokaz o nadgradnji preverjanja rezerv
Binance je napovedal nadgradnjo svojega preverjanja dokazov o rezervah, da vključi zk-SNARK. Pričakuje se, da bo nadgradnja 10. februarja 2023 povečala preglednost in varnost sistema preverjanja.
O Sistem dokazil o rezervah, ki temelji na zkSNARK nadgradnja je vključevala tudi dodajanje protokolov z ničelnim znanjem k obstoječi kriptografiji Merkle drevesa Binance. Nove funkcije so odpravile možnost lažnih računov in negativnih stanj ter ohranile varnost in zasebnost uporabnikov med transakcijami.
Prej, Binance se je zanašal na navadno drevesno kriptografijo Merkle za varnost in preglednost sistema.
Različne verige blokov so sprejele sistem dokazov o rezervah, ki temelji na drevesu Merkle, da bi povečale preglednost industrije po padec FTX. Binance je projekt tudi naredil odprtokodnega, da bi koristil celotni kriptoindustriji in uporabnikom zagotovil občutek SAFU.
Prepoznavanje napak
Ekipa Hacken je pregledala vseh 1157 odvisnosti od projekta in našla 42 ranljivosti, pri čemer jih je bilo 16 izpostavljenih javnemu izkoriščanju. 20 odvisnosti je imelo resno ranljivost, 20 pa srednjo resnost.
Od hudih ranljivosti je ekipa identificirala dve pomembni pomanjkljivosti na drevesu vsote Merkle; negativno stanje in zasebnost.
Razvijalci Binance so se takoj odzvali na opažanje z ustvarjanjem dokazov zk-SNARK. Dokazi so vsebovali serije 864 uporabnikov in vsak je bil medsebojno povezan prek Poseidonove zgoščene vrednosti.
To so odkrili tudi raziskovalci Hackena Binanceov dokaz o rezervah imel vrzeli, ki bi lahko omogočile ustvarjanje lažnega uporabniškega dolga, ki ga tretja oseba ne bi zaznala, in možnost ustvarjanja lažnega dolga.
Skupina treh varnostnih raziskovalcev in razvijalcev verige blokov, ki jih vodi Luciano Ciattaglia, je preverila izvorno kodo in odkrila napako v sistemu, ki mu je omogočila obiti trditev totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual).
Ekipa je ustvarila zaščito pred ponarejanjem tako, da je BasePrice nastavila na zelo visoko vrednost, ker parameter ni imel preverjanja CheckValueInRange, kar pomeni, da lahko hekerji ustvarijo lažen dokaz, ne da bi sistem zaznal. Nasprotno pa je BasePrice javna entiteta in je enostavno zaznati, ko je ogrožena.
Napaka prekoračitve BasePrice pomeni, da bi lahko BasePrice spremenili brez odkrivanja, kar bi lahko znižalo z menjavo dokazane obveznosti.
Binance odziv
Hackens je stopil v stik z Binanceom, potem ko je odkril hrošče, ki se držijo njihove predanosti zagotavljanju preglednosti pri izmenjavah. Razvijalci Binance so se takoj odzvali z odpravo napak in objavo na svojem uradni Twitter ročaj.
Hacknovi razvijalci so predlagali, da Binance doda CheckValueInRange za BasePrice, da prepreči prelivanje, kar je ekipa Binance pregledala in združila Hackenovo obvezo v glavno vejo Binance. Binance je popravil vse ugotovljene kritične in srednje resne vrzeli.
Vendar pa Binance ne more preveriti nobenega dokaza, ustvarjenega pred testi, kot veljavnega, saj so kritične napake omogočile poseganje v skupni znesek dolga. Uporabniki ne morejo potrditi, da noben dokaz pred preizkusom ni ogrožen zaradi ranljivosti.
Blockchain je Hackenovo delo tudi priznal kot izjemen primer povratne moči skupnosti. Binance ponuja tudi platformo, kjer lahko uporabniki poročati ali dati povratne informacije na katerem koli produktu Binance.
Vir: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/