14 жылдың 2023 ақпанында Hacken зерттеушілері сынақтарды жүргізіп, Binance zkSNARK негізіндегі Proof of Reserves жүйесінде қатені анықтады.
Хакен толық нұсқасын жариялады бағалау туралы есеп беру, бұл туралы хабарлады олардың Twitter, және дереу Binance командасына мәселені шешуге кеңес берді.
Резервтерді тексеруді жаңартудың Binance дәлелі
Binance zk-SNARKs қосу үшін резервтерді растауды тексеруді жаңарту туралы жариялады. Жаңарту 10 жылдың 2023 ақпанында тексеру жүйесінің ашықтығы мен қауіпсіздігін арттырады деп күтілуде.
The zkSNARK негізіндегі Proof of Reserves жүйесі Жаңарту сонымен қатар Binance компаниясының бар Merkle ағаш криптографиясына нөлдік білімді дәлелдейтін хаттамаларды қосуды қамтиды. Жаңа мүмкіндіктер жалған тіркелгілер мен теріс теңгерімдердің мүмкіндігін қарастырды және транзакциялар кезінде пайдаланушының қауіпсіздігі мен құпиялылығын сақтады.
Бұрын, Binance қарапайым Merkle ағашының криптографиясына сүйенді жүйенің қауіпсіздігі мен ашықтығы үшін.
Әртүрлі блокчейндер Merkle-tree негізіндегі қорларды дәлелдеу жүйесін қабылдады, содан кейін саланың ашықтығын арттыру үшін. FTX құлдырауы. Binance сонымен қатар бүкіл криптографиялық индустрияға пайда әкелу және пайдаланушылардың SAFU сезінетіндігін қамтамасыз ету үшін жобаны ашық көзге айналдырды.
Қатені анықтау
Hacken командасы жобадағы барлық 1157 тәуелділіктен өтіп, 42 осалдықты тапты, оның 16-сы қоғамдық пайдалануда болды. 20 тәуелділіктің ауыр осалдығы болды, ал 20-сы орташа ауырлық дәрежесіне ие болды.
Ауыр осалдықтардың ішінен команда Merkle қосынды ағашында екі маңызды кемшіліктерді анықтады; теріс баланс және құпиялылық.
Binance әзірлеушілері zk-SNARK дәлелдерін жасау арқылы бақылауға дереу жауап берді. Дәлелдемелерде 864 пайдаланушының топтамалары болды және әрқайсысы Poseidon хэші арқылы өзара байланысты.
Мұны Хакен зерттеушілері де анықтады Binance компаниясының резервтер туралы дәлелі үшінші тарап анықтай алмайтын жалған пайдаланушы қарызын жасауға және жалған қарызды құру мүмкіндігіне мүмкіндік беретін олқылықтар болды.
Luciano Ciattaglia бастаған үш қауіпсіздік зерттеушісі және блокчейн әзірлеушілер командасы бастапқы кодты тексеріп, жүйеде totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual) бекітуін айналып өтуге мүмкіндік беретін қатені анықтады.
Команда BasePrice параметрін өте жоғары мәнге орнату арқылы жалған дәлелдеме жасады, себебі параметрде CheckValueInRange тексеруі жоқ, яғни хакерлер жүйені анықтаусыз жалған дәлелді жасай алады. Керісінше, BasePrice қоғамдық ұйым болып табылады және ол бұзылған кезде оны оңай анықтауға болады.
BasePrice толып кету қатесі негізгі бағаны анықтаусыз өзгертуге болатынын білдіреді, бұл айырбаспен дәлелденген міндеттемелерді төмендетуі мүмкін.
Binance жауабы
Хакенс Binance компаниясымен алмасулардағы ашықтықты қамтамасыз етуге бағытталған қателерді анықтағаннан кейін хабарласты. Binance әзірлеушілері қателерді түзетіп, олар туралы хабарлау арқылы дереу жауап берді Twitter -дің ресми тұтқасы.
Hacken әзірлеушілері Binance-ке толып кетудің алдын алу үшін BasePrice үшін CheckValueInRange қосуды ұсынды, Binance командасы оны қарап шығып, Hacken міндеттемесін Binance-тің негізгі филиалына біріктірді. Binance барлық анықталған сыни және орташа ауырлықтағы кемшіліктерді түзетті.
Дегенмен, Binance сынақтар алдында жасалған кез келген дәлелді жарамды деп тексере алмайды, өйткені маңызды қателер жалпы қарыз сомасын өзгертуге мүмкіндік берді. Пайдаланушылар осалдыққа байланысты сынақтан бұрын қандай да бір дәлелдемелер бұзылмағанын растай алмайды.
Блокчейн сонымен қатар Хакеннің жұмысын қоғамдастық кері байланыс күшінің көрнекті үлгісі ретінде мойындады. Binance сонымен қатар пайдаланушылар алатын платформаны ұсынады есеп беру немесе кері байланыс жасау Binance өнімдерінің кез келгенінде.
Дереккөз: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/