Den 14 februari 2023 körde Hacken-forskare tester och identifierade en bugg i Binance zkSNARK-baserade Proof of Reserves-systemet.
Hacken publicerade en komplett redogöra för bedömningen, meddelade det på deras Twitter, och omedelbart informerade Binance-teamet för att lösa problemet.
Binance bevis på uppgradering av reservverifiering
Binance tillkännagav en uppgradering av sin proof-of-reserve-verifiering för att inkludera zk-SNARKs. Uppgraderingen förväntades öka verifieringssystemets transparens och säkerhet den 10 februari 2023.
Smakämnen zkSNARK-baserat Proof of Reserves-system uppgraderingen inkluderade också tillägget av noll-kunskapssäkra protokoll till Binances befintliga Merkle-trädkryptografi. De nya funktionerna adresserade möjligheten av falska konton och negativa saldon och bevarade användarsäkerhet och integritet under transaktioner.
Tidigare Binance förlitade sig på vanlig Merkle-trädkryptografi för systemsäkerhet och transparens.
Olika blockkedjor antog det Merkle-trädbaserade proof-of-reserves-systemet för att öka branschens transparens efter fall av FTX. Binance gjorde också projektet öppen källkod för att gynna hela kryptoindustrin och försäkra att användarna känner SAFU.
Buggidentifiering
Hacken-teamet gick igenom alla 1157 beroenden på projektet och hittade 42 sårbarheter, varav 16 exponerades för offentligt utnyttjande. 20 beroenden hade en allvarlig sårbarhet, medan 20 hade medelsvår.
Av de allvarliga sårbarheterna identifierade teamet två betydande brister på Merklesumträdet; negativ balans och integritet.
Binance-utvecklarna svarade omedelbart på observationen genom att generera zk-SNARK-bevis. Bevisen innehöll partier med 864 användare, och var och en länkad genom en Poseidon-hash.
Hackenforskarna upptäckte också det Binances bevis på reserver hade kryphål som kunde tillåta generering av falska användarskulder som inte kunde upptäckas av en tredje part och möjligheten att skapa falska skulder.
Teamet med tre säkerhetsforskare och blockkedjeutvecklare ledda av Luciano Ciattaglia kontrollerade källkoden och upptäckte en bugg i systemet som gjorde att det kunde kringgå totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual) påstående.
Teamet skapade en förfalskningssäker genom att sätta BasePrice till ett mycket högt värde eftersom parametern saknade en CheckValueInRange-validering, dvs hackare kan skapa falska bevis utan systemdetektering. I motsats till detta är BasePrice en offentlig enhet, och det är lätt att upptäcka när det äventyras.
BasePrice overflow buggen innebär att man kan ändra BasePrice utan upptäckt, vilket kan sänka utbytesbevisade skulder.
Binance-svar
Hackens kontaktade Binance efter att ha upptäckt buggarna som höll fast vid deras engagemang för att säkerställa transparens i utbyten. Binance-utvecklare svarade omedelbart genom att fixa buggarna och meddela om deras officiella Twitter-handtag.
Hackens utvecklare föreslog att Binance skulle lägga till CheckValueInRange for BasePrice för att förhindra överflödet, vilket Binance-teamet granskade och slog samman Hackens åtagande till Binances huvudgren. Binance fixade alla identifierade kritiska kryphål och kryphål av medelsvårhet.
Binance kan dock inte verifiera några bevis som genererats före testerna som giltiga, eftersom de kritiska buggarna möjliggjorde manipulering av det totala skuldbeloppet. Användare kan inte bekräfta att något bevis före testet inte äventyras på grund av sårbarheten.
Blockkedjan erkände också Hackens arbete som ett enastående exempel på gemenskapsfeedback. Binance tillhandahåller också en plattform där användare kan rapportera eller ge feedback på någon av Binances produkter.
Källa: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/