14 лютого 2023 року дослідники Hacken провели тести та виявили помилку в системі Proof of Reserves на основі Binance zkSNARK.
Хакен опублікував повний звіт про оцінку, оголосив про це на їх Twitter, і негайно повідомили команду Binance про вирішення проблеми.
Binance proof of reserves verification upgrade
Binance оголосила про оновлення верифікації підтвердження резервів, щоб включити zk-SNARK. Очікувалося, що оновлення підвищить прозорість і безпеку системи перевірки 10 лютого 2023 року.
Команда Система підтвердження запасів на основі zkSNARK Оновлення також включало додавання протоколів підтвердження з нульовим знанням до існуючої криптографії дерева Merkle Binance. Нові функції усунули можливість підроблених облікових записів і негативного балансу, а також зберегли безпеку та конфіденційність користувачів під час транзакцій.
Раніше, Binance покладався на звичайну криптографію Merkle для безпеки та прозорості системи.
Різні блокчейни прийняли систему підтвердження запасів на основі дерева Merkle для підвищення прозорості галузі після падіння FTX. Binance також зробив проект із відкритим вихідним кодом, щоб принести користь усій криптоіндустрії та запевнити користувачів у відчутті SAFU.
Ідентифікація помилок
Команда Hacken переглянула всі 1157 залежностей проекту та знайшла 42 уразливості, 16 з яких піддалися публічній експлуатації. 20 залежностей мали серйозну вразливість, а 20 – середню.
Серед серйозних уразливостей команда виявила два суттєвих недоліки в дереві сум Меркла; негативний баланс і конфіденційність.
Розробники Binance негайно відреагували на спостереження, створивши докази zk-SNARK. Докази містили групи з 864 користувачів, і кожна з них була пов’язана через хеш Poseidon.
Це також виявили дослідники Hacken Підтвердження запасів Binance були лазівки, які могли дозволити створити фальшиву заборгованість користувача, яку третя сторона не виявила, і можливість створення фальшивої заборгованості.
Команда з трьох дослідників безпеки та розробників блокчейнів на чолі з Лучано Чіатталья перевірила вихідний код і виявила помилку в системі, яка дозволяла їй обійти твердження totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual).
Команда створила захист від підробки, встановивши BasePrice на дуже високе значення, оскільки параметр не мав перевірки CheckValueInRange, тобто хакери можуть створити підробку без виявлення системи. Навпаки, BasePrice є загальнодоступною організацією, і її легко виявити, коли вона скомпрометована.
Помилка переповнення BasePrice означає, що можна змінити BasePrice без виявлення, що може знизити зобов’язання, підтверджені обміном.
Відповідь Binance
Хакенс зв’язався з Binance після того, як виявив помилки, пов’язані з їх прагненням забезпечити прозорість бірж. Розробники Binance негайно відреагували, виправивши помилки та оголосивши про це офіційна ручка Twitter.
Розробники Hacken запропонували Binance додати CheckValueInRange для BasePrice, щоб запобігти переповненню, команда Binance переглянула це й об’єднала комміт Hacken у основну гілку Binance. Binance виправила всі виявлені критичні та середньої серйозності лазівки.
Однак Binance не може перевірити будь-які докази, створені до тестів, як дійсні, оскільки критичні помилки дозволили підробити загальну суму боргу. Користувачі не можуть підтвердити, що будь-які докази до тестування не скомпрометовані через уразливість.
Блокчейн також визнав роботу Хакена видатним прикладом сили зворотного зв’язку спільноти. Binance також надає платформу, де користувачі можуть повідомте або надайте відгук на будь-якому з продуктів Binance.
Джерело: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/