14 წლის 2023 თებერვალს, Hacken-ის მკვლევარებმა ჩაატარეს ტესტები და დაადგინეს ხარვეზი Binance zkSNARK-ზე დაფუძნებულ Proof of Reserves სისტემაში.
ჰაკენმა გამოაქვეყნა სრული ანგარიში შეფასების შესახებ, გამოაცხადა მათი ტვიტერიდა დაუყოვნებლივ აცნობეს Binance-ის გუნდს პრობლემის მოსაგვარებლად.
Binance სარეზერვო გადამოწმების განახლების დამადასტურებელი საბუთი
Binance-მა გამოაცხადა განახლება რეზერვების დამადასტურებელ შემოწმებაზე, რომელიც მოიცავს zk-SNARK-ებს. მოსალოდნელი იყო, რომ განახლება გააძლიერებდა ვერიფიკაციის სისტემის გამჭვირვალობას და უსაფრთხოებას 10 წლის 2023 თებერვალს.
ის zkSNARK-ზე დაფუძნებული რეზერვების დადასტურების სისტემა განახლება ასევე მოიცავდა ნულოვანი ცოდნის დამადასტურებელი პროტოკოლების დამატებას Binance-ის არსებულ Merkle-ის ხის კრიპტოგრაფიაში. ახალი ფუნქციები ეხებოდა ყალბი ანგარიშების და უარყოფითი ნაშთების შესაძლებლობას და ტრანზაქციების დროს მომხმარებლის უსაფრთხოებისა და კონფიდენციალურობის შენარჩუნებას.
მანამდე, Binance ეყრდნობოდა მერკლის ხის კრიპტოგრაფიას სისტემის უსაფრთხოებისა და გამჭვირვალობისთვის.
სხვადასხვა ბლოკჩეინმა მიიღო Merkle-ზე დაფუძნებული რეზერვების დადასტურების სისტემა, რათა გაზარდოს ინდუსტრიის გამჭვირვალობა მას შემდეგ, რაც FTX-ის დაცემა. Binance-მა ასევე გახადა პროექტი ღია კოდის სახით, რათა ისარგებლოს მთელი კრიპტოინდუსტრიით და დაარწმუნოს მომხმარებლები SAFU-ზე.
ხარვეზის იდენტიფიკაცია
Hacken-ის გუნდმა გაიარა პროექტზე არსებული ყველა 1157 დამოკიდებულება და აღმოაჩინა 42 დაუცველობა, რომელთაგან 16 ექვემდებარებოდა საჯარო ექსპლუატაციას. 20 დამოკიდებულების იყო მძიმე დაუცველობა, ხოლო 20 - საშუალო სიმძიმის.
მძიმე დაუცველობიდან ჯგუფმა გამოავლინა ორი მნიშვნელოვანი ნაკლი Merkle-ს ჯამის ხეზე; უარყოფითი ბალანსი და კონფიდენციალურობა.
Binance-ის დეველოპერებმა დაუყოვნებლივ უპასუხეს დაკვირვებას zk-SNARK მტკიცებულებების გენერირებით. მტკიცებულებები შეიცავდა 864 მომხმარებლის პარტიას და თითოეული ურთიერთდაკავშირებული იყო პოსეიდონის ჰეშის საშუალებით.
ჰაკენის მკვლევარებმა ასევე აღმოაჩინეს ეს Binance-ის რეზერვების მტკიცებულება ჰქონდა ხარვეზები, რომლებიც საშუალებას აძლევდა მესამე მხარის მიერ გამოვლენილი ყალბი მომხმარებლის ვალების გენერირებას და ყალბი ვალის შექმნის შესაძლებლობას.
უსაფრთხოების სამი მკვლევარის და ბლოკჩეინის დეველოპერების გუნდმა, ლუჩიანო ციატალიას ხელმძღვანელობით, შეამოწმა წყაროს კოდი და აღმოაჩინა სისტემაში შეცდომა, რომელიც საშუალებას აძლევდა მას გვერდის ავლით totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual) მტკიცება.
გუნდმა შექმნა ყალბი მტკიცებულება BasePrice-ის ძალიან მაღალ მნიშვნელობაზე დაყენებით, რადგან პარამეტრს აკლია CheckValueInRange ვალიდაცია, ანუ ჰაკერებს შეუძლიათ შექმნან ყალბი მტკიცებულება სისტემის აღმოჩენის გარეშე. ამის საპირისპიროდ, BasePrice არის საჯარო ერთეული და ადვილია მისი დადგენა, როდესაც ის კომპრომეტირებულია.
BasePrice-ის გადაჭარბებული ხარვეზი ნიშნავს, რომ შეიძლება შეიცვალოს BasePrice გამოვლენის გარეშე, რამაც შეიძლება შეამციროს გაცვლითი დადასტურებული ვალდებულებები.
Binance პასუხი
ჰაკენსი დაუკავშირდა Binance-ს მას შემდეგ, რაც აღმოაჩინა შეცდომები, რომლებიც იცავდა მათ ერთგულებას ბირჟებში გამჭვირვალობის უზრუნველსაყოფად. Binance-ის დეველოპერებმა დაუყოვნებლივ უპასუხეს შეცდომების გამოსწორებით და გამოაცხადეს მათ შესახებ ოფიციალური Twitter სახელური.
Hacken-ის დეველოპერებმა შესთავაზეს Binance-ს დაემატებინა CheckValueInRange BasePrice-სთვის, რათა თავიდან აიცილოს გადინება, რომელიც Binance-ის გუნდმა განიხილა და გააერთიანა Hacken's commit Binance-ის მთავარ ფილიალში. Binance-მა დააფიქსირა ყველა გამოვლენილი კრიტიკული და საშუალო სიმძიმის ხარვეზი.
თუმცა, Binance-ს არ შეუძლია შეამოწმოს ტესტირებამდე წარმოქმნილი რაიმე მტკიცებულება, როგორც ვალიდური, რადგან კრიტიკულმა შეცდომებმა დაუშვა მთლიანი დავალიანების ოდენობის ხელყოფა. მომხმარებლებს არ შეუძლიათ დაადასტურონ, რომ ტესტირებამდე რაიმე მტკიცებულება არ არის კომპრომეტირებული დაუცველობის გამო.
ბლოკჩეინმა ასევე აღიარა ჰეკენის მუშაობა, როგორც საზოგადოების უკუკავშირის ძალის გამორჩეული მაგალითი. Binance ასევე უზრუნველყოფს პლატფორმას, სადაც მომხმარებლებს შეუძლიათ მოხსენება ან გამოხმაურება Binance-ის ნებისმიერ პროდუქტზე.
წყარო: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/