Dana 14. veljače 2023. Hackenovi istraživači proveli su testove i identificirali grešku u sustavu Proof of Reserves temeljenom na Binance zkSNARK.
Hacken je objavio kompletan izvješće o ocjeni, objavio je to na njihov Twitter, te je odmah obavijestio Binance tim da riješi problem.
Nadogradnja provjere Binance proof of reserves
Binance je najavio nadogradnju svoje provjere dokaza o rezervama kako bi uključio zk-SNARK-ove. Očekuje se da će nadogradnja povećati transparentnost i sigurnost sustava verifikacije 10. veljače 2023.
Korištenje električnih romobila ističe Sustav dokaza o rezervama temeljen na zkSNARK-u nadogradnja je također uključivala dodavanje protokola dokaza nultog znanja postojećoj Binanceovoj kriptografiji stabla Merkle. Nove značajke riješile su mogućnost lažnih računa i negativnih stanja te očuvale sigurnost i privatnost korisnika tijekom transakcija.
Prije toga, Binance se oslanjao na običnu kriptografiju Merkle stabla za sigurnost i transparentnost sustava.
Razni blockchaini usvojili su sustav dokaza o rezervama temeljen na Merkleovom stablu kako bi povećali transparentnost industrije nakon pad FTX-a. Binance je također napravio projekt otvorenog koda kako bi koristio cijeloj kripto industriji i uvjerio korisnike da se osjećaju SAFU.
Identifikacija bugova
Hackenov tim je prošao kroz svih 1157 ovisnosti o projektu i pronašao 42 ranjivosti, od kojih je 16 bilo izloženo javnom iskorištavanju. 20 ovisnosti imalo je ozbiljnu ranjivost, dok je 20 imalo srednju ozbiljnost.
Od ozbiljnih ranjivosti, tim je identificirao dva značajna nedostatka na Merkleovom sumskom stablu; negativno stanje i privatnost.
Binance programeri odmah su odgovorili na zapažanje generiranjem zk-SNARK dokaza. Dokazi su sadržavali skupine od 864 korisnika, a svaki je bio međusobno povezan Poseidon hashom.
Istraživači Hackena su to također otkrili Binanceov dokaz o rezervama imao je rupe u zakonu koje su mogle omogućiti stvaranje lažnog duga korisnika koji treća strana ne može otkriti i mogućnost stvaranja lažnog duga.
Tim od tri sigurnosna istraživača i blockchain programera predvođen Lucianom Ciattagliom provjerio je izvorni kod i otkrio grešku u sustavu koja mu je omogućila zaobilaženje totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual) tvrdnje.
Tim je stvorio zaštitu od krivotvorina postavljanjem BasePrice na vrlo visoku vrijednost jer je parametru nedostajala provjera valjanosti CheckValueInRange, tj. hakeri mogu stvoriti lažni dokaz bez otkrivanja sustava. Suprotno tome, BasePrice je javni entitet i lako je otkriti kada je ugrožen.
Bug prekoračenja BasePrice znači da bi se BasePrice mogao promijeniti bez otkrivanja, što bi moglo smanjiti obveze dokazane razmjenom.
Binance odgovor
Hackens je kontaktirao Binance nakon što je otkrio bugove koji se pridržavaju njihove posvećenosti osiguravanju transparentnosti u razmjenama. Binance programeri odmah su odgovorili ispravljanjem grešaka i objavom na svom službena Twitter ručka.
Hackenovi programeri predložili su da Binance doda CheckValueInRange za BasePrice kako bi spriječio prekoračenje, što je Binanceov tim pregledao i spojio Hackenov commit u Binanceovu glavnu granu. Binance je popravio sve identificirane kritične i srednje ozbiljne nedostatke.
Međutim, Binance ne može potvrditi bilo koji dokaz generiran prije testova kao valjan, budući da su kritične pogreške dopuštale petljanje s ukupnim iznosom duga. Korisnici ne mogu potvrditi da bilo koji dokaz prije testa nije ugrožen zbog ranjivosti.
Blockchain je također prepoznao Hackenov rad kao izvanredan primjer povratne snage zajednice. Binance također nudi platformu na kojoj korisnici mogu prijaviti ili dati povratnu informaciju na bilo koji Binanceov proizvod.
Izvor: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/