14ko otsailaren 2023an, Hackeneko ikertzaileek probak egin zituzten eta Binance zkSNARK-n oinarritutako Proof of Reserves sisteman akats bat identifikatu zuten.
Hackenek oso bat argitaratu zuen ebaluazioari buruzko txostena, iragarri zuen haien Twitter, eta berehala jakinarazi zion Binance taldeari arazoa konpontzeko.
Binance-ren erreserben egiaztapenaren berritzea
Binance-k bere erreserben egiaztapena berritzea iragarri zuen zk-SNARK-ak sartzeko. Bertsioak egiaztapen-sistemaren gardentasuna eta segurtasuna areagotzea espero zen 10ko otsailaren 2023ean.
The zkSNARK-n oinarritutako Proof of Reserves sistema bertsio berritzeak zero ezagutza frogatzeko protokoloak gehitzea ere barne hartu zuen Binanceren Merkle zuhaitzaren kriptografiari. Ezaugarri berriek kontu faltsuak eta saldo negatiboak izateko aukera jorratu zuten eta transakzioetan erabiltzailearen segurtasuna eta pribatutasuna zaintzen zituzten.
Aurretik, Binance Merkle zuhaitzaren kriptografi arruntean oinarritzen zen sistemaren segurtasunerako eta gardentasunerako.
Hainbat bloke-kateek Merkle-zuhaitzetan oinarritutako erreserben froga-sistema hartu zuten industriaren gardentasuna areagotzeko. FTXren jaitsiera. Binancek ere kode irekia egin zuen proiektua kriptografia-industria osoari mesede egiteko eta erabiltzaileak SAFU sentitzen direla ziurtatzeko.
Akatsen identifikazioa
Hacken taldeak proiektuaren 1157 menpekotasun guztiak zeharkatu zituen eta 42 ahultasun aurkitu zituen, 16 ustiapen publikora jasan zituzten. 20 mendekotasunek ahultasun larria zuten, eta 20k, berriz, larritasun ertaina.
Ahultasun larrietatik, taldeak Merkle sum zuhaitzean bi hutsune nabarmen identifikatu zituen; balantze negatiboa eta pribatutasuna.
Binance garatzaileek berehala erantzun zioten behaketari zk-SNARK frogak sortuz. Frogak 864 erabiltzaileko loteak zituzten, eta bakoitza Poseidon hash baten bidez elkarlotu zen.
Hackeneko ikertzaileek ere hori aurkitu zuten Binance-ren Erreserben Froga hirugarren batek erabiltzaile-zor faltsuak antzemanezinak eta zor faltsuak sortzeko aukera izan ditzakeen zirrikituak zituen.
Luciano Ciattagliak zuzendutako hiru segurtasun ikertzaile eta blockchain garatzaileen taldeak iturburu-kodea egiaztatu eta sisteman akats bat aurkitu zuen, totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual) baieztapena saihesteko aukera ematen zuena.
Taldeak faltsutze-froga bat sortu zuen BasePrice balio oso altuan ezarriz, parametroak CheckValueInRange baliozkotze bat falta zuelako, hau da, hacker-ek froga faltsuak sor ditzakete sistema detektatu gabe. Aitzitik, BasePrice erakunde publikoa da, eta arriskuan dagoenean erraza da hautematea.
BasePrice gainezka akatsak esan nahi du BasePrice alda daitekeela hauteman gabe, eta horrek truke frogatutako pasiboak murriztu ditzake.
Binance erantzuna
Hackens-ek Binancerekin harremanetan jarri zen trukeetan gardentasuna bermatzeko dedikazioari atxikitako akatsak aurkitu ondoren. Binance garatzaileek berehala erantzun zuten akatsak konponduz eta haien berri emanez Twitterren helduleku ofiziala.
Hacken-en garatzaileek iradoki zuten Binancek CheckValueInRange gehitzea BasePrice-rako gainezkatzea saihesteko, Binance taldeak berrikusi eta Hacken-en konpromisoa Binanceren adar nagusian batu zuela. Binancek identifikatutako hutsune kritiko eta ertaineko hutsune guztiak konpondu zituen.
Hala ere, Binancek ezin du egiaztatu probak baino lehen sortutako frogarik baliozkotzat, akats kritikoek zorren guztizko zenbatekoa manipulatzea ahalbidetzen baitzuten. Erabiltzaileek ezin dute baieztatu probaren aurretik frogarik ez dagoela arriskuan ahultasuna dela eta.
Blockchain-ek Hacken-en lana ere aitortu zuen komunitatearen feedback-ahalmenaren adibide nabarmen gisa. Binancek erabiltzaileek egin dezaketen plataforma bat ere eskaintzen du jakinarazi edo iritzia eman Binanceren edozein produktutan.
Iturria: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/