14 m. vasario 2023 d. „Hacken“ mokslininkai atliko bandymus ir nustatė „Binance zkSNARK“ pagrindu veikiančios rezervų įrodymo sistemos klaidą.
Hackenas paskelbė visą vertinimo ataskaita, paskelbė apie tai jų „Twitter“ir nedelsiant informavo „Binance“ komandą, kad ši išspręstų problemą.
„Binance“ atsargų patvirtinimo atnaujinimo įrodymas
„Binance“ paskelbė apie rezervų patikrinimo atnaujinimą, kad įtrauktų zk-SNARK. Tikimasi, kad 10 m. vasario 2023 d. atnaujinimas padidins patikros sistemos skaidrumą ir saugumą.
Šios zkSNARK pagrįsta rezervų patvirtinimo sistema Atnaujinimas taip pat apėmė nulinių žinių įrodymo protokolų pridėjimą prie esamos Binance Merkle medžio kriptografijos. Naujos funkcijos pašalino netikrų sąskaitų ir neigiamų likučių galimybę bei išsaugojo naudotojų saugumą ir privatumą atliekant operacijas.
Anksčiau Binance rėmėsi paprasta Merkle medžio kriptografija sistemos saugumui ir skaidrumui.
Įvairios blokų grandinės panaudojo Merkle medžiu pagrįstą rezervų įrodymo sistemą, kad padidintų pramonės skaidrumą po to, kai FTX kritimas. „Binance“ taip pat padarė projektą atviro kodo, kad būtų naudinga visai kriptovaliutų pramonei ir užtikrintų, kad vartotojai jaustųsi SAFU.
Klaidų identifikavimas
„Hacken“ komanda ištyrė visas 1157 priklausomybes nuo projekto ir rado 42 pažeidžiamumus, iš kurių 16 buvo viešai išnaudoti. 20 priklausomybių buvo labai pažeidžiamos, o 20 - vidutinio sunkumo.
Iš rimtų pažeidžiamumų komanda nustatė du reikšmingus Merkle sumos medžio trūkumus; neigiamas balansas ir privatumas.
„Binance“ kūrėjai nedelsdami sureagavo į pastebėjimą generuodami zk-SNARK įrodymus. Įrodymuose buvo 864 vartotojų paketai, kurių kiekvienas buvo susietas per Poseidono maišą.
Hacken tyrinėtojai tai taip pat atrado „Binance“ rezervų įrodymas turėjo spragų, kurios leido sukurti netikrą vartotojo skolą, kurios trečioji šalis negalėjo aptikti, ir galimybę sukurti netikrą skolą.
Trijų saugumo tyrinėtojų ir blokų grandinės kūrėjų komanda, vadovaujama Luciano Ciattaglia, patikrino šaltinio kodą ir aptiko sistemos klaidą, leidžiančią apeiti totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual) tvirtinimą.
Komanda sukūrė apsaugą nuo padirbinėjimo nustatydama labai didelę „BasePrice“ vertę, nes parametrui trūko „CheckValueInRange“ patvirtinimo, ty įsilaužėliai gali sukurti netikrą įrodymą sistemos neaptikę. Priešingai, „BasePrice“ yra viešasis subjektas ir nesunku atpažinti, kai jis pažeistas.
„BasePrice“ perpildymo klaida reiškia, kad „BasePrice“ galima pakeisti be aptikimo, o tai gali sumažinti biržoje patvirtintus įsipareigojimus.
Binance atsakas
Hackensas susisiekė su Binance, kai atrado klaidas, kurios laikosi jų pasišventimo užtikrinti mainų skaidrumą. „Binance“ kūrėjai nedelsdami sureagavo, ištaisydami klaidas ir pranešdami apie juos oficiali „Twitter“ rankena.
„Hacken“ kūrėjai pasiūlė „Binance“ pridėti „CheckValueInRange“ prie „BasePrice“, kad būtų išvengta perpildymo, kurį „Binance“ komanda peržiūrėjo ir sujungė „Hacken“ įsipareigojimą į pagrindinį „Binance“ filialą. Binance ištaisė visas nustatytas kritines ir vidutinio sunkumo spragas.
Tačiau „Binance“ negali patvirtinti, kad joks įrodymas, sukurtas prieš bandymus, yra tinkamas, nes dėl kritinių klaidų buvo galima sugadinti visą skolos sumą. Vartotojai negali patvirtinti, kad jokie įrodymai prieš bandymą nėra pažeisti dėl pažeidžiamumo.
„Blockchain“ taip pat pripažino Hackeno darbą kaip puikų bendruomenės grįžtamojo ryšio galios pavyzdį. „Binance“ taip pat suteikia platformą, kurioje vartotojai gali pranešti arba pateikti atsiliepimą bet kuriame Binance gaminyje.
Šaltinis: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/