Ar Chwefror 14, 2023, cynhaliodd ymchwilwyr Hacken brofion a nodi nam yn system Proof of Reserves Binance zkSNARK.
Cyhoeddodd Hacken gyflawn adroddiad ar yr asesiad, ei gyhoeddi ar eu Twitter, ac ar unwaith appreisodd y tîm Binance i ddatrys y mater.
Prawf Binance o uwchraddio dilysu cronfeydd wrth gefn
Cyhoeddodd Binance uwchraddiad ar ei ddilysiad prawf o gronfeydd wrth gefn i gynnwys zk-SNARKs. Roedd disgwyl i'r uwchraddiad roi hwb i dryloywder a diogelwch y system ddilysu ar Chwefror 10, 2023.
Mae adroddiadau system Proof of Reserves yn seiliedig ar zkSNARK roedd yr uwchraddio hefyd yn cynnwys ychwanegu protocolau prawf dim gwybodaeth i gryptograffeg coed Merkle presennol Binance. Roedd y nodweddion newydd yn mynd i'r afael â'r posibilrwydd o gyfrifon ffug a balansau negyddol a chadw diogelwch a phreifatrwydd defnyddwyr yn ystod trafodion.
Yn flaenorol, Roedd Binance yn dibynnu ar gryptograffeg coeden Merkle plaen ar gyfer diogelwch a thryloywder system.
Mabwysiadodd amrywiol gadwyni bloc y system prawf o gronfeydd Merkle-coed i gynyddu tryloywder y diwydiant ar ôl y cwymp FTX. Gwnaeth Binance hefyd y prosiect yn ffynhonnell agored er budd y diwydiant crypto cyfan a sicrhau bod defnyddwyr yn teimlo SAFU.
Adnabod nam
Aeth tîm Hacken drwy bob un o’r 1157 o ddibyniaethau ar y prosiect a chanfod 42 o wendidau, gydag 16 yn agored i ecsbloetiaeth gyhoeddus. Roedd gan 20 o ddibyniaethau fregusrwydd difrifol, tra bod gan 20 ddifrifoldeb canolig.
O'r gwendidau difrifol, nododd y tîm ddau ddiffyg sylweddol ar y goeden Merkle sum; cydbwysedd negyddol a phreifatrwydd.
Ymatebodd datblygwyr Binance ar unwaith i'r arsylwi trwy gynhyrchu proflenni zk-SNARK. Roedd y proflenni'n cynnwys sypiau o 864 o ddefnyddwyr, ac roedd pob un yn cydgysylltu trwy stwnsh Poseidon.
Darganfu ymchwilwyr Hacken hynny hefyd Prawf o Warchodfeydd Binance roedd ganddo fylchau a allai ganiatáu i drydydd parti greu dyled defnyddwyr ffug na ellid ei chanfod a'r posibilrwydd o greu dyled ffug.
Gwiriodd y tîm o dri ymchwilydd diogelwch a datblygwyr blockchain dan arweiniad Luciano Ciattaglia y cod ffynhonnell a darganfod nam yn y system a oedd yn caniatáu iddo osgoi honiad totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual).
Creodd y tîm brawf ffug trwy osod BasePrice ar werth uchel iawn oherwydd bod y paramedr ar goll o ddilysiad CheckValueInRange, hy, gall hacwyr greu prawf ffug heb ganfod system. I'r gwrthwyneb, mae'r BasePrice yn endid cyhoeddus, ac mae'n hawdd ei ganfod pan fydd dan fygythiad.
Mae byg gorlif BasePrice yn golygu y gallai un newid y BasePrice heb ei ganfod, a allai leihau rhwymedigaethau a brofwyd gan gyfnewid.
Ymateb Binance
Cysylltodd Hackens â Binance ar ôl darganfod y bygiau yn cadw at eu hymroddiad i sicrhau tryloywder mewn cyfnewidfeydd. Ymatebodd datblygwyr Binance ar unwaith trwy drwsio'r bygiau a chyhoeddi ar eu handlen Twitter swyddogol.
Awgrymodd datblygwyr Hacken y dylai Binance ychwanegu CheckValueInRange ar gyfer BasePrice i atal y gorlif, a adolygodd tîm Binance a chyfuno ymrwymiad Hacken i brif gangen Binance. Trwsiodd Binance yr holl fylchau difrifol a chanolig a nodwyd.
Fodd bynnag, ni all Binance wirio bod unrhyw brawf a gynhyrchwyd cyn y profion yn ddilys, gan fod y bygiau critigol yn caniatáu ymyrryd â chyfanswm y ddyled. Ni all defnyddwyr gadarnhau nad yw unrhyw brawf cyn y prawf yn cael ei beryglu oherwydd y bregusrwydd.
Roedd y blockchain hefyd yn cydnabod gwaith Hacken fel enghraifft ragorol o bŵer adborth cymunedol. Mae Binance hefyd yn darparu llwyfan lle gall defnyddwyr adrodd neu roi adborth ar unrhyw un o gynhyrchion Binance.
Ffynhonnell: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/