14. veebruaril 2023 viisid Hackeni teadlased läbi testid ja tuvastasid vea Binance zkSNARK-põhises reservide tõendamise süsteemis.
Hacken avaldas täieliku aruanne hindamise kohta, teatas sellest nende Twitterja teavitas kohe Binance'i meeskonda probleemi lahendamisest.
Binance'i tõend reservide kontrollimise versiooniuuenduse kohta
Binance teatas oma varude tõendamise kontrolli uuendamisest, et kaasata zk-SNARK-id. Uuendus peaks 10. veebruaril 2023 suurendama kinnitussüsteemi läbipaistvust ja turvalisust.
. zkSNARK-il põhinev reservide tõendamise süsteem täiendus hõlmas ka nullteadmiste tõendprotokolli lisamist Binance'i olemasolevale Merkle'i puu krüptograafiale. Uued funktsioonid käsitlesid võltskontode ja negatiivsete saldode võimalust ning säilitasid tehingute ajal kasutaja turvalisuse ja privaatsuse.
Varem Binance toetus lihtsale Merkle'i puu krüptograafiale süsteemi ohutuse ja läbipaistvuse tagamiseks.
Erinevad plokiahelad võtsid kasutusele Merkle'i puul põhineva reservide tõendamise süsteemi, et suurendada tööstuse läbipaistvust pärast FTX langus. Binance muutis projekti ka avatud lähtekoodiga, et saada kasu kogu krüptotööstusele ja tagada kasutajatele SAFU tunne.
Vea tuvastamine
Hackeni meeskond läbis kõik 1157 projekti sõltuvust ja leidis 42 haavatavust, millest 16 avastati avalikult. 20 sõltuvusel oli tõsine haavatavus, samas kui 20 oli keskmise raskusastmega.
Tõsistest haavatavustest tuvastas meeskond Merkle'i summapuul kaks olulist puudust; negatiivne saldo ja privaatsus.
Binance'i arendajad vastasid tähelepanekule kohe, luues zk-SNARKi tõendid. Tõestused sisaldasid 864 kasutaja partiisid, millest igaüks oli omavahel seotud Poseidoni räsi kaudu.
Selle avastasid ka Hackeni teadlased Binance'i reservide tõend oli lünki, mis võimaldasid tekitada võltsitud kasutajavõlga, mida kolmas osapool ei tuvasta, ja võltsvõlgade tekitamise võimalust.
Kolmest turvateadlasest ja plokiahela arendajast koosnev meeskond eesotsas Luciano Ciattaglia kontrollis lähtekoodi ja avastas süsteemis vea, mis võimaldas sellel totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual) väitest mööda minna.
Meeskond lõi võltsimiskindla, määrates BasePrice'i väga kõrge väärtuse, kuna parameetril puudus CheckValueInRange'i valideerimine, st häkkerid saavad luua võltsitud tõendit ilma süsteemi tuvastamata. Vastupidiselt on BasePrice avalik üksus ja selle ohtu on lihtne tuvastada.
BasePrice'i ülevooluviga tähendab, et BasePrice'i saab muuta ilma tuvastamiseta, mis võib vähendada börsil tõestatud kohustusi.
Binance vastus
Hackens võttis Binance'iga ühendust pärast seda, kui avastas vead, mis järgisid nende pühendumust vahetuste läbipaistvuse tagamisele. Binance'i arendajad reageerisid kohe, parandades vead ja andnud teada ametlik Twitteri käepide.
Hackeni arendajad soovitasid Binance'il lisada ületäitumise vältimiseks BasePrice'i jaoks CheckValueInRange, mille Binance'i meeskond vaatas üle ja ühendas Hackeni kohustuse Binance'i põhiharuga. Binance parandas kõik tuvastatud kriitilised ja keskmise raskusastmega lüngad.
Binance ei saa aga kinnitada, et ükski enne teste loodud tõend on kehtiv, kuna kriitilised vead võimaldasid võla kogusummat rikkuda. Kasutajad ei saa kinnitada, et ükski testieelne tõend ei ole haavatavuse tõttu ohustatud.
Plokiahel tunnustas ka Hackeni tööd kui silmapaistvat näidet kogukonna tagasiside jõust. Binance pakub ka platvormi, kus kasutajad saavad teatage või andke tagasisidet mis tahes Binance'i tootel.
Allikas: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/