در 14 فوریه 2023، محققان Hacken آزمایشاتی را انجام دادند و یک باگ را در سیستم Proof of Reserves مبتنی بر zkSNARK بایننس شناسایی کردند.
هکن کامل منتشر کرد گزارش ارزیابی، آن را اعلام کرد توییتر آنها، و بلافاصله تیم Binance را برای حل این مشکل مطلع کرد.
ارتقای تأیید ذخایر بایننس
بایننس از ارتقای تأیید صحت ذخایر خود برای گنجاندن zk-SNARK خبر داد. انتظار میرفت که این ارتقا شفافیت و امنیت سیستم تأیید را در 10 فوریه 2023 افزایش دهد.
La سیستم اثبات ذخایر مبتنی بر zkSNARK ارتقاء همچنین شامل افزودن پروتکلهای اثبات دانش صفر به رمزنگاری درخت مرکل موجود بایننس بود. ویژگیهای جدید احتمال اکانتهای جعلی و موجودیهای منفی و حفظ امنیت و حریم خصوصی کاربران در طول تراکنشها را برطرف میکند.
قبلا، بایننس به رمزنگاری درخت مرکل ساده متکی بود برای ایمنی و شفافیت سیستم
بلاک چین های مختلف سیستم اثبات ذخایر مبتنی بر درخت مرکل را برای افزایش شفافیت صنعت پس از سقوط FTX. بایننس همچنین پروژه را منبع باز ساخت تا به نفع کل صنعت کریپتو باشد و به کاربران اطمینان دهد که SAFU را احساس می کنند.
شناسایی باگ
تیم Hacken تمام 1157 وابستگی به پروژه را بررسی کرد و 42 آسیب پذیری پیدا کرد که 16 مورد در معرض بهره برداری عمومی قرار داشتند. 20 وابستگی دارای آسیب پذیری شدید و 20 وابستگی دارای شدت متوسط بودند.
از میان آسیبپذیریهای شدید، تیم دو نقص قابل توجه در درخت مجموع مرکل شناسایی کرد. تعادل منفی و حریم خصوصی
توسعه دهندگان Binance بلافاصله با ایجاد اثبات zk-SNARK به مشاهده پاسخ دادند. این مدارک شامل دستهای از 864 کاربر بود و هر کدام از طریق یک هش Poseidon به هم مرتبط بودند.
محققان هکن نیز این موضوع را کشف کردند اثبات ذخایر بایننس دارای حفره هایی بود که می توانست به تولید بدهی کاربر جعلی غیرقابل شناسایی توسط شخص ثالث و امکان ایجاد بدهی جعلی اجازه دهد.
تیمی متشکل از سه محقق امنیتی و توسعه دهندگان بلاک چین به رهبری لوچیانو سیاتالیا کد منبع را بررسی کردند و یک اشکال در سیستم کشف کردند که به آن اجازه میداد تا از ادعای totalUserDebt، totalUserEquity (api.AssertIsLessOrEqual) عبور کند.
تیم با تنظیم BasePrice در یک مقدار بسیار بالا، یک ضد تقلب ایجاد کرد، زیرا این پارامتر فاقد اعتبار CheckValueInRange بود، یعنی هکرها میتوانند بدون شناسایی سیستم، مدرک جعلی ایجاد کنند. برعکس، BasePrice یک نهاد عمومی است و تشخیص آن در زمان به خطر افتادن آن آسان است.
اشکال سرریز BasePrice به این معنی است که میتوان BasePrice را بدون شناسایی تغییر داد، که میتواند بدهیهای اثبات شده مبادله را کاهش دهد.
پاسخ بایننس
هکنز پس از کشف اشکالاتی که به تعهد خود برای اطمینان از شفافیت در مبادلات پایبند بودند، با بایننس تماس گرفت. توسعه دهندگان بایننس بلافاصله با رفع اشکالات و اعلام آن ها پاسخ دادند دسته رسمی توییتر.
توسعه دهندگان Hacken پیشنهاد کردند که بایننس CheckValueInRange را برای BasePrice اضافه کند تا از سرریز شدن آن جلوگیری کند، که تیم Binance آن را بررسی کرده و commit Hacken را در شعبه اصلی Binance ادغام کرد. بایننس تمام نقاط ضعف شناسایی شده با شدت بحرانی و متوسط را برطرف کرد.
با این حال، بایننس نمیتواند هیچ مدرکی را که قبل از آزمایشها ایجاد شده است، تأیید کند، زیرا باگهای مهم اجازه دستکاری در مبلغ کل بدهی را میدهند. کاربران نمی توانند تأیید کنند که هیچ مدرکی قبل از آزمایش به دلیل آسیب پذیری به خطر نیفتد.
بلاک چین همچنین کار هکن را به عنوان نمونه ای برجسته از قدرت بازخورد جامعه پذیرفت. بایننس همچنین پلتفرمی را فراهم می کند که کاربران می توانند گزارش دهید یا بازخورد بدهید روی هر یک از محصولات بایننس
منبع: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/