Στις 14 Φεβρουαρίου 2023, οι ερευνητές του Hacken πραγματοποίησαν δοκιμές και εντόπισαν ένα σφάλμα στο σύστημα Proof of Reserves που βασίζεται στο Binance zkSNARK.
Ο Hacken δημοσίευσε ένα πλήρες έκθεση για την αξιολόγηση, το ανακοίνωσε στις το Twitter τους, και ενημέρωσε αμέσως την ομάδα του Binance για να επιλύσει το πρόβλημα.
Αναβάθμιση επαλήθευσης αποθεματικών Binance
Η Binance ανακοίνωσε μια αναβάθμιση στην επαλήθευση απόδειξης αποθεματικών για να συμπεριλάβει τα zk-SNARK. Η αναβάθμιση αναμενόταν να ενισχύσει τη διαφάνεια και την ασφάλεια του συστήματος επαλήθευσης στις 10 Φεβρουαρίου 2023.
Η Σύστημα απόδειξης αποθεμάτων που βασίζεται σε zkSNARK Η αναβάθμιση περιελάμβανε επίσης την προσθήκη πρωτοκόλλων απόδειξης μηδενικής γνώσης στην υπάρχουσα κρυπτογραφία Merkle του Binance. Τα νέα χαρακτηριστικά αντιμετώπισαν την πιθανότητα ψεύτικων λογαριασμών και αρνητικών υπολοίπων και διατήρησαν την ασφάλεια και το απόρρητο των χρηστών κατά τις συναλλαγές.
Προηγουμένως, Ο Binance βασίστηκε στην απλή κρυπτογραφία δέντρων Merkle για την ασφάλεια και τη διαφάνεια του συστήματος.
Διάφορα blockchains υιοθέτησαν το σύστημα απόδειξης αποθεμάτων που βασίζεται στο Merkle-tree για να αυξήσουν τη διαφάνεια του κλάδου μετά την πτώση του FTX. Η Binance έκανε επίσης το έργο ανοιχτού κώδικα για να ωφελήσει ολόκληρη τη βιομηχανία κρυπτογράφησης και να διαβεβαιώσει τους χρήστες να αισθάνονται SAFU.
Αναγνώριση σφαλμάτων
Η ομάδα του Hacken πέρασε και τις 1157 εξαρτήσεις από το έργο και βρήκε 42 τρωτά σημεία, με 16 εκτεθειμένα σε δημόσια εκμετάλλευση. 20 εξαρτήσεις είχαν σοβαρή ευπάθεια, ενώ 20 μέτριας σοβαρότητας.
Από τα σοβαρά τρωτά σημεία, η ομάδα εντόπισε δύο σημαντικές ελλείψεις στο δέντρο αθροίσματος Merkle. αρνητικό υπόλοιπο και ιδιωτικότητα.
Οι προγραμματιστές του Binance ανταποκρίθηκαν αμέσως στην παρατήρηση δημιουργώντας αποδείξεις zk-SNARK. Οι αποδείξεις περιείχαν παρτίδες 864 χρηστών και το καθένα συνδεδεμένο μέσω ενός κατακερματισμού Poseidon.
Οι ερευνητές του Hacken το ανακάλυψαν επίσης Απόδειξη αποθεματικών της Binance είχε κενά που θα μπορούσαν να επιτρέψουν τη δημιουργία πλαστού χρέους χρηστών που δεν ήταν ανιχνεύσιμα από τρίτους και τη δυνατότητα δημιουργίας πλαστού χρέους.
Η ομάδα τριών ερευνητών ασφάλειας και προγραμματιστών blockchain με επικεφαλής τον Luciano Ciattaglia έλεγξε τον πηγαίο κώδικα και ανακάλυψε ένα σφάλμα στο σύστημα που του επέτρεπε να παρακάμψει τον ισχυρισμό totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual).
Η ομάδα δημιούργησε ένα πλαστό αποδεικτικό ρυθμίζοντας το BasePrice σε μια πολύ υψηλή τιμή, επειδή η παράμετρος έλειπε μια επικύρωση CheckValueInRange, δηλαδή, οι χάκερ μπορούν να δημιουργήσουν πλαστές αποδείξεις χωρίς εντοπισμό συστήματος. Αντίθετα, το BasePrice είναι μια δημόσια οντότητα και είναι εύκολο να εντοπιστεί πότε παραβιάζεται.
Το σφάλμα υπερχείλισης BasePrice σημαίνει ότι κάποιος θα μπορούσε να αλλάξει το BasePrice χωρίς εντοπισμό, κάτι που θα μπορούσε να μειώσει τις αποδεδειγμένες υποχρεώσεις ανταλλαγής.
Απόκριση Binance
Ο Hackens επικοινώνησε με την Binance αφού ανακάλυψε τα σφάλματα που τηρούσαν την αφοσίωσή τους στη διασφάλιση της διαφάνειας στις ανταλλαγές. Οι προγραμματιστές του Binance ανταποκρίθηκαν αμέσως διορθώνοντας τα σφάλματα και ανακοίνωσαν σχετικά επίσημη λαβή Twitter.
Οι προγραμματιστές του Hacken πρότειναν στην Binance να προσθέσει το CheckValueInRange για το BasePrice για να αποτρέψει την υπερχείλιση, την οποία η ομάδα του Binance εξέτασε και συγχώνευσε τη δέσμευση του Hacken στον κύριο κλάδο του Binance. Το Binance διόρθωσε όλα τα κρίσιμα και μεσαίας σοβαρότητας κενά που εντοπίστηκαν.
Ωστόσο, η Binance δεν μπορεί να επαληθεύσει καμία απόδειξη που δημιουργήθηκε πριν από τις δοκιμές ως έγκυρη, καθώς τα κρίσιμα σφάλματα επέτρεψαν την παραβίαση του συνολικού ποσού του χρέους. Οι χρήστες δεν μπορούν να επιβεβαιώσουν ότι οποιαδήποτε απόδειξη πριν από τη δοκιμή δεν διακυβεύεται λόγω της ευπάθειας.
Το blockchain αναγνώρισε επίσης το έργο του Hacken ως εξαιρετικό παράδειγμα δύναμης ανατροφοδότησης της κοινότητας. Το Binance παρέχει επίσης μια πλατφόρμα όπου μπορούν οι χρήστες αναφέρετε ή δίνετε σχόλια σε οποιοδήποτε από τα προϊόντα της Binance.
Πηγή: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/