Noong Peb 14, 2023, nagpatakbo ang mga mananaliksik ng Hacken ng mga pagsubok at natukoy ang isang bug sa sistema ng Proof of Reserves na nakabase sa Binance zkSNARK.
Nag-publish si Hacken ng isang kumpletong ulat sa pagtatasa, inihayag ito sa ang kanilang Twitter, at agad na inaprubahan ang Binance team para lutasin ang isyu.
Binance proof of reserves verification upgrade
Inanunsyo ng Binance ang pag-upgrade sa proof-of-reserves na pag-verify nito para isama ang mga zk-SNARK. Inaasahang mapapalakas ng pag-upgrade ang transparency at seguridad ng verification system sa Peb 10, 2023.
Ang zkSNARK-based na Proof of Reserves system Kasama rin sa pag-upgrade ang pagdaragdag ng zero-knowledge proof protocol sa umiiral na Merkle tree cryptography ng Binance. Tinutugunan ng mga bagong feature ang posibilidad ng mga pekeng account at negatibong balanse at napanatili ang kaligtasan at privacy ng user sa panahon ng mga transaksyon.
Noong nakaraan, Umasa ang Binance sa simpleng Merkle tree cryptography para sa kaligtasan at transparency ng system.
Pinagtibay ng iba't ibang blockchain ang Merkle-tree-based proof-of-reserves system upang mapataas ang transparency ng industriya pagkatapos ng pagbagsak ng FTX. Ginawa rin ng Binance na open source ang proyekto para makinabang ang buong industriya ng crypto at tiyakin na nararamdaman ng mga user ang SAFU.
Pagkakakilanlan ng bug
Ang pangkat ng Hacken ay dumaan sa lahat ng 1157 dependencies sa proyekto at nakakita ng 42 na mga kahinaan, na may 16 na nalantad sa pampublikong pagsasamantala. 20 dependencies ay nagkaroon ng matinding kahinaan, habang 20 ay may katamtamang kalubhaan.
Sa matinding kahinaan, natukoy ng koponan ang dalawang makabuluhang pagkukulang sa Merkle sum tree; negatibong balanse at privacy.
Ang mga developer ng Binance ay agad na tumugon sa obserbasyon sa pamamagitan ng pagbuo ng mga patunay ng zk-SNARK. Ang mga patunay ay naglalaman ng mga batch ng 864 user, at bawat isa ay nag-interlink sa pamamagitan ng isang Poseidon hash.
Natuklasan din iyon ng mga mananaliksik ng Hacken Ang Katibayan ng Mga Inilalaan ng Binance may mga butas na maaaring magbigay-daan sa pagbuo ng pekeng utang ng user na hindi matukoy ng isang third party at ang posibilidad na lumikha ng pekeng utang.
Sinuri ng pangkat ng tatlong mananaliksik ng seguridad at mga developer ng blockchain na pinamumunuan ni Luciano Ciattaglia ang source code at natuklasan ang isang bug sa system na nagbigay-daan dito na i-bypass ang totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual) assertion.
Gumawa ang team ng pekeng-patunay sa pamamagitan ng pagtatakda ng BasePrice sa napakataas na halaga dahil ang parameter ay walang checkValueInRange validation, ibig sabihin, ang mga hacker ay maaaring gumawa ng pekeng patunay nang walang system detection. Sa kabilang banda, ang BasePrice ay isang pampublikong entity, at madaling matukoy kapag ito ay nakompromiso.
Ang BasePrice overflow bug ay nangangahulugan na maaaring baguhin ng isa ang BasePrice nang walang detection, na maaaring magpababa ng mga pananagutan na napatunayan ng palitan.
Sagot ng Binance
Nakipag-ugnayan ang mga Hackens sa Binance matapos matuklasan ang mga bug na sumusunod sa kanilang dedikasyon sa pagtiyak ng transparency sa mga palitan. Agad na tumugon ang mga developer ng Binance sa pamamagitan ng pag-aayos ng mga bug at pag-anunsyo sa kanila opisyal na hawakan ng Twitter.
Iminungkahi ng mga developer ng Hacken na idagdag ng Binance ang CheckValueInRange para sa BasePrice upang maiwasan ang pag-apaw, na sinuri ng Binance team at pinagsama ang commit ni Hacken sa pangunahing sangay ng Binance. Inayos ng Binance ang lahat ng natukoy na kritikal at katamtamang mga butas ng kalubhaan.
Gayunpaman, hindi ma-verify ng Binance ang anumang patunay na nabuo bago ang mga pagsubok bilang wasto, dahil pinapayagan ng mga kritikal na bug ang pakikialam sa kabuuang halaga ng utang. Hindi makumpirma ng mga user na ang anumang patunay bago ang pagsubok ay hindi nakompromiso dahil sa kahinaan.
Kinikilala din ng blockchain ang gawain ni Hacken bilang isang natatanging halimbawa ng kapangyarihan ng feedback ng komunidad. Nagbibigay din ang Binance ng isang platform kung saan magagawa ng mga user mag-ulat o magbigay ng puna sa alinman sa mga produkto ng Binance.
Pinagmulan: https://crypto.news/hacken-boost-binance-proof-of-reserves-security/