14 年 2023 月 XNUMX 日,Hacken 研究人員進行了測試並發現了基於 Binance zkSNARK 的儲備證明系統中的一個錯誤。
哈肯發布了一個完整的 評估報告, 宣佈於 他們的推特,並立即通知幣安團隊解決問題。
Binance proof of reserves 驗證升級
幣安宣布升級其儲備證明驗證以包括 zk-SNARKs。 升級預計將在 10 年 2023 月 XNUMX 日提高驗證系統的透明度和安全性。
基於 zkSNARK 的儲備證明系統 升級還包括為幣安現有的 Merkle 樹密碼學添加零知識證明協議。 新功能解決了虛假賬戶和負餘額的可能性,並在交易過程中保護了用戶的安全和隱私。
此前, Binance 依賴於簡單的 Merkle 樹密碼學 為了系統的安全性和透明度。
各種區塊鏈採用基於Merkle-tree的儲備證明系統以提高行業透明度。 FTX的隕落. 幣安還將該項目開源,以造福整個加密行業,讓用戶感受到 SAFU。
錯誤識別
Hacken 團隊檢查了該項目的所有 1157 個依賴項,發現了 42 個漏洞,其中 16 個漏洞被公開利用。 20 個依賴項具有嚴重漏洞,而 20 個具有中等嚴重性。
在嚴重漏洞中,該團隊發現了 Merkle 和樹的兩個重大缺陷; 負平衡和隱私。
Binance 開發人員立即通過生成 zk-SNARK 證明來回應觀察。 證明包含 864 個用戶的批次,每個用戶都通過 Poseidon 哈希相互關聯。
哈肯研究人員還發現 幣安的儲備證明 存在漏洞,可能會產生第三方無法檢測到的虛假用戶債務,並有可能產生虛假債務。
由 Luciano Ciattaglia 領導的三名安全研究人員和區塊鏈開發人員組成的團隊檢查了源代碼並發現了系統中的一個錯誤,該錯誤使其能夠繞過 totalUserDebt、totalUserEquity (api.AssertIsLessOrEqual) 斷言。
該團隊通過將 BasePrice 設置為非常高的值來創建偽造證明,因為該參數缺少 CheckValueInRange 驗證,即黑客可以在沒有系統檢測的情況下創建偽造證明。 相反,BasePrice 是一個公共實體,當它遭到破壞時很容易檢測到。
BasePrice 溢出錯誤意味著可以在不被發現的情況下更改 BasePrice,這可能會降低交易所證明的負債。
幣安響應
哈肯斯在發現漏洞後聯繫了幣安,因為他們致力於確保交易所的透明度。 Binance 開發人員立即通過修復錯誤做出回應,並在他們的 官方推特賬號.
Hacken 的開發人員建議 Binance 為 BasePrice 添加 CheckValueInRange 以防止溢出,Binance 團隊審查並將 Hacken 的提交合併到 Binance 的主分支中。 幣安修復了所有已識別的嚴重和中等嚴重漏洞。
但是,幣安無法驗證測試之前生成的任何證明是否有效,因為嚴重的錯誤允許篡改總債務金額。 用戶無法確認測試前的任何證據是否因該漏洞而被破壞。
區塊鏈還承認 Hacken 的工作是社區反饋力量的傑出範例。 幣安還提供了一個平台,用戶可以在其中 報告或提供反饋 在幣安的任何產品上。
來源:https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/