14 թվականի փետրվարի 2023-ին Hacken-ի հետազոտողները փորձարկումներ կատարեցին և հայտնաբերեցին սխալ Binance zkSNARK-ի վրա հիմնված Reserves Reserves համակարգում:
Հաքենը հրապարակել է ամբողջական գնահատման վերաբերյալ հաշվետվությունԱյդ մասին հայտարարել է նրանց Twitter- ը, և անմիջապես ծանուցեց Binance-ի թիմին խնդիրը լուծելու համար:
Պահուստների ստուգման արդիականացման Binance-ի ապացույց
Binance-ը հայտարարեց իր պահուստների հաստատման ստուգման թարմացման մասին՝ ներառելով zk-SNARK-ները: Ակնկալվում էր, որ արդիականացումը կխթանի ստուգման համակարգի թափանցիկությունն ու անվտանգությունը 10 թվականի փետրվարի 2023-ին:
The zkSNARK-ի վրա հիմնված Proof of Reserves համակարգ արդիականացումը ներառում էր նաև զրոյական գիտելիքի ապացույցների արձանագրությունների ավելացում Binance-ի գոյություն ունեցող Merkle ծառի ծածկագրությանը: Նոր առանձնահատկությունները վերաբերում էին կեղծ հաշիվների և բացասական մնացորդների հնարավորությանը, ինչպես նաև գործարքների ժամանակ պահպանում էին օգտատերերի անվտանգությունն ու գաղտնիությունը:
նախկինում, Binance-ը հիմնվում էր պարզ Merkle ծառի ծածկագրության վրա համակարգի անվտանգության և թափանցիկության համար:
Տարբեր բլոկչեյններ ընդունեցին Merkle-tree-ի վրա հիմնված պահուստների ապացույցների համակարգը՝ արդյունաբերության թափանցիկությունը բարձրացնելու համար: FTX-ի անկումը. Binance-ը նաև նախագիծը դարձրեց բաց կոդով` օգուտ քաղելու ողջ կրիպտո արդյունաբերությանը և վստահեցնելու, որ օգտվողները զգում են SAFU:
Սխալների նույնականացում
Hacken թիմը անցել է նախագծի բոլոր 1157 կախվածությունները և հայտնաբերել 42 խոցելիություն, որոնցից 16-ը ենթարկվել են հանրային շահագործման: 20 կախվածություն ունեցել է խիստ խոցելիություն, իսկ 20-ը՝ միջին ծանրության:
Խիստ խոցելիություններից թիմը հայտնաբերեց երկու էական թերություններ Մերկլի գումարային ծառի վրա. բացասական հաշվեկշիռ և գաղտնիություն:
Binance-ի մշակողները անմիջապես արձագանքեցին դիտարկմանը` ստեղծելով zk-SNARK ապացույցներ: Ապացույցները պարունակում էին 864 օգտվողների խմբաքանակ, և յուրաքանչյուրը փոխկապակցված էր Poseidon հեշի միջոցով:
Հեքենի հետազոտողները նույնպես հայտնաբերել են դա Binance-ի պահուստների ապացույց ուներ բացեր, որոնք կարող էին թույլ տալ կեղծ օգտատերերի պարտքերի առաջացում, որոնք չհայտնաբերված երրորդ կողմի կողմից և կեղծ պարտքեր ստեղծելու հնարավորություն:
Անվտանգության երեք հետազոտողներից և բլոկչեյն մշակողներից կազմված թիմը՝ Լուչիանո Չիատալյայի գլխավորությամբ, ստուգել է աղբյուրի կոդը և համակարգում հայտնաբերել սխալ, որը թույլ է տվել շրջանցել totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual) պնդումը։
Թիմը ստեղծել է կեղծ ապացույց՝ BasePrice-ը շատ բարձր արժեք դնելով, քանի որ պարամետրին բացակայում էր CheckValueInRange վավերացումը, այսինքն՝ հաքերները կարող են կեղծ ապացույցներ ստեղծել առանց համակարգի հայտնաբերման: Հակառակը, BasePrice-ը հանրային կազմակերպություն է, և հեշտ է հայտնաբերել, երբ այն վտանգված է:
BasePrice-ի արտահոսքի սխալը նշանակում է, որ կարելի է փոխել BasePrice-ը առանց հայտնաբերման, ինչը կարող է նվազեցնել փոխանակման միջոցով ապացուցված պարտավորությունները:
Binance-ի պատասխանը
Hackens-ը կապվել է Binance-ի հետ այն բանից հետո, երբ հայտնաբերել է սխալներ, որոնք հավատարիմ են փոխանակումների թափանցիկության ապահովմանը իրենց նվիրվածությանը: Binance-ի մշակողները անմիջապես արձագանքեցին՝ շտկելով սխալները և հայտարարել իրենց մասին Twitter-ի պաշտոնական բռնակ.
Hacken-ի մշակողները առաջարկեցին Binance-ին ավելացնել CheckValueInRange-ը BasePrice-ի համար՝ կանխելու արտահոսքը, որը Binance-ի թիմը վերանայեց և միավորեց Hacken-ի պարտավորությունները Binance-ի հիմնական մասնաճյուղում: Binance-ը շտկեց բոլոր բացահայտված կրիտիկական և միջին ծանրության բացերը:
Այնուամենայնիվ, Binance-ը չի կարող ստուգել փորձարկումներից առաջ ստեղծված որևէ ապացույց որպես վավեր, քանի որ կրիտիկական սխալները թույլ են տվել կեղծել պարտքի ընդհանուր գումարը: Օգտագործողները չեն կարող հաստատել, որ թեստից առաջ որևէ ապացույց չի վտանգի ենթարկվել խոցելիության պատճառով:
Բլոկչեյնը նաև ճանաչեց Հաքենի աշխատանքը որպես համայնքի հետադարձ կապի ուժի ակնառու օրինակ: Binance-ը նաև տրամադրում է հարթակ, որտեղ օգտվողները կարող են զեկուցել կամ տալ հետադարձ կապ Binance-ի ցանկացած արտադրանքի վրա:
Աղբյուր՝ https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/