14 Şubat 2023'te Hacken araştırmacıları testler yaptı ve Binance zkSNARK tabanlı Proof of Reserves sisteminde bir hata tespit etti.
Hacken tam bir yayınladı değerlendirme raporu, tarihinde duyurdu onların Twitter'ıve sorunu çözmesi için hemen Binance ekibine bilgi verdi.
Binance rezerv kanıtı doğrulama yükseltmesi
Binance, rezerv kanıtı doğrulamasında zk-SNARK'ları içerecek şekilde bir yükseltme yaptığını duyurdu. Yükseltmenin, 10 Şubat 2023'te doğrulama sisteminin şeffaflığını ve güvenliğini artırması bekleniyordu.
The zkSNARK tabanlı Proof of Reserves sistemi yükseltme aynı zamanda Binance'in mevcut Merkle ağacı kriptografisine sıfır bilgi kanıtı protokollerinin eklenmesini de içeriyordu. Yeni özellikler, sahte hesaplar ve negatif bakiyeler olasılığını ele aldı ve işlemler sırasında kullanıcı güvenliğini ve gizliliğini korudu.
Daha önce, Binance, düz Merkle ağacı kriptografisine güveniyordu sistem güvenliği ve şeffaflık için.
Çeşitli blok zincirleri, endüstri şeffaflığını artırmak için Merkle-ağacı tabanlı rezerv kanıtı sistemini benimsedi. FTX'in düşüşü. Binance ayrıca tüm kripto endüstrisine fayda sağlamak ve kullanıcıların SAFU hissetmesini sağlamak için projeyi açık kaynak haline getirdi.
Hata tanımlama
Hacken ekibi, projedeki 1157 bağımlılığın tamamını inceledi ve 42'sı kamu kullanımına açık olmak üzere 16 güvenlik açığı buldu. 20 bağımlılığın ciddi bir güvenlik açığı varken 20'sinin şiddeti orta düzeydeydi.
Ekip, ciddi güvenlik açıklarından Merkle toplam ağacında iki önemli eksiklik belirledi; negatif denge ve mahremiyet.
Binance geliştiricileri, zk-SNARK kanıtları oluşturarak gözleme hemen yanıt verdi. Provalar, 864 kullanıcıdan oluşan gruplar içeriyordu ve her biri bir Poseidon hash'i aracılığıyla birbirine bağlandı.
Hacken araştırmacıları şunu da keşfettiler: Binance'in Rezerv Kanıtı üçüncü bir şahıs tarafından tespit edilemeyen sahte kullanıcı borcunun oluşturulmasına ve sahte borç yaratma olasılığına izin verebilecek boşluklara sahipti.
Luciano Ciattaglia liderliğindeki üç güvenlik araştırmacısı ve blockchain geliştiricisinden oluşan ekip, kaynak kodunu kontrol etti ve sistemde totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual) iddiasını atlamasına izin veren bir hata keşfetti.
Ekip, BasePrice'ı çok yüksek bir değere ayarlayarak bir sahteciliğe karşı koruma oluşturdu çünkü parametrede bir CheckValueInRange doğrulaması eksikti, yani bilgisayar korsanları sistem algılaması olmadan sahte kanıt oluşturabilir. Aksine, BasePrice halka açık bir varlıktır ve güvenliği ihlal edildiğinde bunu tespit etmek kolaydır.
BasePrice taşma hatası, BasePrice'ın tespit edilmeden değiştirilebileceği anlamına gelir, bu da dövizle kanıtlanmış yükümlülükleri azaltabilir.
Binance yanıtı
Hackens, borsalarda şeffaflığı sağlama konusundaki kararlılıklarına bağlı kalan hataları keşfettikten sonra Binance ile iletişime geçti. Binance geliştiricileri, hataları düzelterek anında yanıt verdi ve duyurularını yaptı. resmi Twitter tanıtıcısı.
Hacken'in geliştiricileri, Binance ekibinin inceleyip Hacken'in taahhüdünü Binance'in ana şubesiyle birleştirdiği taşmayı önlemek için Binance'in BasePrice için CheckValueInRange'ı eklemesini önerdi. Binance, tanımlanan tüm kritik ve orta düzeydeki boşlukları düzeltti.
Ancak Binance, kritik hatalar toplam borç tutarının tahrif edilmesine izin verdiğinden, testlerden önce oluşturulan kanıtların geçerliliğini doğrulayamıyor. Kullanıcılar, güvenlik açığı nedeniyle testten önceki herhangi bir kanıtın tehlikeye girmediğini onaylayamaz.
Blok zinciri ayrıca Hacken'in çalışmalarını topluluk geri bildirim gücünün olağanüstü bir örneği olarak kabul etti. Binance ayrıca, kullanıcıların bildir veya geri bildirimde bulun Binance'in herhangi bir ürününde.
Kaynak: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/