Am 14. Februar 2023 führten Hacken-Forscher Tests durch und identifizierten einen Fehler im zkSNARK-basierten Proof of Reserves-System von Binance.
Hacken veröffentlichte eine komplette über die Begutachtung berichten, kündigte es an ihr Twitter, und benachrichtigte sofort das Binance-Team, um das Problem zu lösen.
Binance Proof of Reserves Verification-Upgrade
Binance kündigte ein Upgrade seiner Proof-of-Reserve-Verifizierung an, um zk-SNARKs einzubeziehen. Das Upgrade sollte die Transparenz und Sicherheit des Verifizierungssystems am 10. Februar 2023 erhöhen.
Das zkSNARK-basiertes Proof-of-Reserves-System Das Upgrade beinhaltete auch das Hinzufügen von Zero-Knowledge-Proof-Protokollen zur bestehenden Merkle-Tree-Kryptografie von Binance. Die neuen Funktionen befassten sich mit der Möglichkeit gefälschter Konten und negativer Salden und bewahrten die Sicherheit und Privatsphäre der Benutzer bei Transaktionen.
Zuvor Binance stützte sich auf die einfache Merkle-Baum-Kryptografie für Systemsicherheit und Transparenz.
Verschiedene Blockchains haben das Merkle-Tree-basierte Proof-of-Reserves-System eingeführt, um die Branchentransparenz zu erhöhen Fall von FTX. Binance machte das Projekt auch zu Open Source, um der gesamten Kryptoindustrie zugute zu kommen und sicherzustellen, dass sich die Benutzer SAFU fühlen.
Fehleridentifikation
Das Hacken-Team ging alle 1157 Abhängigkeiten des Projekts durch und fand 42 Schwachstellen, von denen 16 der öffentlichen Ausnutzung ausgesetzt waren. 20 Abhängigkeiten wiesen eine schwere Schwachstelle auf, während 20 einen mittleren Schweregrad aufwiesen.
Von den schwerwiegenden Schwachstellen identifizierte das Team zwei signifikante Mängel im Merkle-Summenbaum; Negativbilanz und Privatsphäre.
Die Binance-Entwickler reagierten sofort auf die Beobachtung, indem sie zk-SNARK-Beweise generierten. Die Beweise enthielten Chargen von 864 Benutzern, die jeweils durch einen Poseidon-Hash miteinander verbunden waren.
Das haben auch die Hacken-Forscher herausgefunden Nachweis der Reserven von Binance hatte Schlupflöcher, die die Generierung von gefälschten Benutzerschulden ermöglichen könnten, die von Dritten nicht entdeckt werden können, und die Möglichkeit, gefälschte Schulden zu schaffen.
Das Team aus drei Sicherheitsforschern und Blockchain-Entwicklern unter der Leitung von Luciano Ciattaglia überprüfte den Quellcode und entdeckte einen Fehler im System, der es ihm ermöglichte, die Behauptung totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual) zu umgehen.
Das Team erstellte einen Fälschungsnachweis, indem es BasePrice auf einen sehr hohen Wert festlegte, da dem Parameter eine CheckValueInRange-Validierung fehlte, dh Hacker können einen gefälschten Nachweis ohne Systemerkennung erstellen. Im Gegensatz dazu ist BasePrice eine öffentliche Entität, und es ist leicht zu erkennen, wenn sie kompromittiert ist.
Der BasePrice-Überlauffehler bedeutet, dass man den BasePrice ohne Erkennung ändern könnte, was die börsengeprüften Verbindlichkeiten verringern könnte.
Binance-Antwort
Hackens kontaktierte Binance, nachdem er die Fehler entdeckt hatte, die an ihrem Engagement für die Gewährleistung von Transparenz beim Austausch festhielten. Binance-Entwickler reagierten sofort, indem sie die Fehler behoben und auf ihrer bekannt gegeben haben offizielles Twitter-Handle.
Die Entwickler von Hacken schlugen vor, dass Binance CheckValueInRange für BasePrice hinzufügt, um den Überlauf zu verhindern, was das Binance-Team überprüfte und Hackens Commit in den Hauptzweig von Binance zusammenführte. Binance hat alle identifizierten kritischen und mittelschweren Schlupflöcher behoben.
Binance kann jedoch keinen vor den Tests erstellten Beweis als gültig verifizieren, da die kritischen Fehler eine Manipulation des Gesamtschuldenbetrags ermöglichten. Benutzer können nicht bestätigen, dass kein Beweis vor dem Test aufgrund der Schwachstelle gefährdet ist.
Die Blockchain würdigte Hackens Arbeit auch als herausragendes Beispiel für Community-Feedback-Power. Binance bietet auch eine Plattform, auf der Benutzer dies tun können melden oder Feedback geben auf einem der Produkte von Binance.
Quelle: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/