14. februára 2023 výskumníci z Hackenu vykonali testy a identifikovali chybu v systéme dôkazu o rezervách založenom na Binance zkSNARK.
Hacken zverejnil kompletný správu o hodnotení, oznámil to dňa ich Twittera okamžite vyzval tím Binance, aby problém vyriešil.
Binance dôkaz o aktualizácii overenia rezerv
Binance oznámila inováciu overovania dôkazu o rezervách tak, aby zahŕňala zk-SNARK. Očakáva sa, že aktualizácia zvýši transparentnosť a bezpečnosť overovacieho systému 10. februára 2023.
Systém potvrdenia o rezervách založený na zkSNARK upgrade zahŕňal aj pridanie protokolov s nulovými znalosťami do existujúcej stromovej kryptografie Merkle od Binance. Nové funkcie riešili možnosť falošných účtov a záporných zostatkov a zachovali bezpečnosť a súkromie používateľov počas transakcií.
skôr, Binance sa spoliehala na jednoduchú kryptografiu Merkleho stromu pre bezpečnosť a transparentnosť systému.
Rôzne blockchainy prijali systém potvrdenia o rezervách založený na Merkle-tree, aby zvýšili transparentnosť odvetvia po pád FTX. Binance tiež sprístupnila projekt ako open source, aby bol prínosom pre celý kryptopriemysel a aby sa používatelia cítili BEZPEČNE.
Identifikácia chyby
Tím Hacken prešiel všetkých 1157 závislostí na projekte a našiel 42 zraniteľností, pričom 16 bolo vystavených verejnému zneužívaniu. 20 závislostí malo závažnú zraniteľnosť, zatiaľ čo 20 malo strednú závažnosť.
Zo závažných zraniteľností tím identifikoval dva významné nedostatky na strome súčtu Merkle; negatívna bilancia a súkromie.
Vývojári Binance okamžite zareagovali na pozorovanie vygenerovaním dôkazov zk-SNARK. Dôkazy obsahovali dávky 864 používateľov a každý bol prepojený cez hash Poseidon.
Zistili to aj výskumníci z Hackenu Dôkaz o rezervách Binance mal medzery, ktoré by mohli umožniť generovanie falošného dlhu používateľov, ktorý by tretia strana nezistila, a možnosť vytvorenia falošného dlhu.
Tím troch bezpečnostných výskumníkov a vývojárov blockchainu pod vedením Luciana Ciattagliu skontroloval zdrojový kód a objavil chybu v systéme, ktorá mu umožnila obísť tvrdenie totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual).
Tím vytvoril ochranu proti falšovaniu nastavením BasePrice na veľmi vysokú hodnotu, pretože parametru chýbalo overenie CheckValueInRange, tj hackeri môžu vytvoriť falošný dôkaz bez detekcie systému. Naopak, základná cena je verejná entita a je ľahké zistiť, kedy je ohrozená.
Chyba pretečenia základnej ceny znamená, že by ste mohli zmeniť základnú cenu bez detekcie, čo by mohlo znížiť záväzky preukázané výmenou.
Odpoveď Binance
Hackens kontaktoval Binance po zistení chýb, ktoré dodržiavali ich odhodlanie zabezpečiť transparentnosť výmen. Vývojári Binance okamžite zareagovali opravou chýb a oznámením na nich oficiálna správa na Twitteri.
Vývojári Hackenu navrhli, aby Binance pridala CheckValueInRange pre BasePrice, aby sa predišlo pretečeniu, čo tím Binance skontroloval a zlúčil Hackenov záväzok do hlavnej pobočky Binance. Binance opravila všetky identifikované kritické a stredne závažné medzery.
Binance však nemôže overiť platnosť žiadneho dôkazu vytvoreného pred testami, pretože kritické chyby umožnili manipuláciu s celkovou sumou dlhu. Používatelia nemôžu potvrdiť, že žiadny dôkaz pred testom nie je ohrozený kvôli zraniteľnosti.
Blockchain tiež uznal Hackenovu prácu ako vynikajúci príklad sily spätnej väzby komunity. Binance tiež poskytuje platformu, kde môžu používatelia nahlásiť alebo poskytnúť spätnú väzbu na ktoromkoľvek z produktov Binance.
Zdroj: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/