Den 14. februar 2023 kjørte Hacken-forskere tester og identifiserte en feil i det Binance zkSNARK-baserte Proof of Reserves-systemet.
Hacken publiserte en komplett rapportere om vurderingen, annonserte det på deres Twitter, og ga umiddelbart Binance-teamet beskjed om å løse problemet.
Binance bevis på oppgradering av reserveverifisering
Binance kunngjorde en oppgradering av bevis-av-reserve-verifiseringen for å inkludere zk-SNARKs. Oppgraderingen var forventet å øke bekreftelsessystemets åpenhet og sikkerhet 10. februar 2023.
De zkSNARK-basert Proof of Reserves-system oppgradering inkluderte også tillegg av null-kunnskapssikker protokoller til Binances eksisterende Merkle-trekryptografi. De nye funksjonene adresserte muligheten for falske kontoer og negative saldoer og bevarte brukersikkerhet og personvern under transaksjoner.
Tidligere Binance stolte på vanlig Merkle-trekryptografi for systemsikkerhet og åpenhet.
Ulike blokkjeder tok i bruk det Merkle-tre-baserte bevis-av-reservesystemet for å øke industriens åpenhet etter fall av FTX. Binance gjorde også prosjektet åpen kildekode for å være til fordel for hele kryptoindustrien og forsikre brukerne om å føle SAFU.
Feilidentifikasjon
Hacken-teamet gikk gjennom alle de 1157 avhengighetene til prosjektet og fant 42 sårbarheter, hvorav 16 var utsatt for offentlig utnyttelse. 20 avhengigheter hadde en alvorlig sårbarhet, mens 20 hadde middels alvorlighet.
Av de alvorlige sårbarhetene identifiserte teamet to betydelige mangler på Merkle sum-treet; negativ balanse og personvern.
Binance-utviklerne reagerte umiddelbart på observasjonen ved å generere zk-SNARK-bevis. Bevisene inneholdt grupper på 864 brukere, og hver enkelt koblet sammen gjennom en Poseidon-hash.
Hacken-forskerne oppdaget også det Binances bevis på reserver hadde smutthull som kunne tillate generering av falsk brukergjeld som ikke kunne oppdages av en tredjepart og muligheten for å opprette falsk gjeld.
Teamet med tre sikkerhetsforskere og blokkjedeutviklere ledet av Luciano Ciattaglia sjekket kildekoden og oppdaget en feil i systemet som tillot det å omgå totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual) påstand.
Teamet opprettet en forfalskningssikker ved å sette BasePrice til en veldig høy verdi fordi parameteren manglet en CheckValueInRange-validering, dvs. hackere kan lage falske bevis uten systemdeteksjon. Motsatt er BasePrice en offentlig enhet, og det er lett å oppdage når det er kompromittert.
BasePrice-overløpsfeilen betyr at man kan endre BasePrice uten deteksjon, noe som kan redusere børspåviste forpliktelser.
Binance-svar
Hackens kontaktet Binance etter å ha oppdaget feilene som fulgte deres dedikasjon til å sikre åpenhet i utvekslinger. Binance-utviklere svarte umiddelbart ved å fikse feilene og kunngjøre på deres offisielt Twitter-håndtak.
Hackens utviklere foreslo at Binance skulle legge til CheckValueInRange for BasePrice for å forhindre overløpet, som Binance-teamet gjennomgikk og slo sammen Hackens forpliktelse til Binances hovedgren. Binance fikset alle identifiserte smutthull av kritisk og middels alvorlighetsgrad.
Binance kan imidlertid ikke verifisere bevis generert før testene som gyldige, ettersom de kritiske feilene tillot tukling med det totale gjeldsbeløpet. Brukere kan ikke bekrefte at bevis før testen ikke er kompromittert på grunn av sårbarheten.
Blokkjeden anerkjente også Hackens arbeid som et fremragende eksempel på tilbakemeldingskraft fra samfunnet. Binance tilbyr også en plattform der brukere kan rapportere eller gi tilbakemelding på noen av Binances produkter.
Kilde: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/