Il 14 febbraio 2023, i ricercatori di Hacken hanno eseguito dei test e identificato un bug nel sistema Proof of Reserves basato su Binance zkSNARK.
Hacken ha pubblicato un completo relazione sulla valutazione, lo ha annunciato su il loro Twittere ha immediatamente informato il team di Binance per risolvere il problema.
Aggiornamento della verifica delle riserve a prova di Binance
Binance ha annunciato un aggiornamento della sua verifica della prova di riserva per includere zk-SNARK. L'aggiornamento avrebbe dovuto aumentare la trasparenza e la sicurezza del sistema di verifica il 10 febbraio 2023.
I Sistema di prova delle riserve basato su zkSNARK l'aggiornamento includeva anche l'aggiunta di protocolli a prova di conoscenza zero alla crittografia Merkle tree esistente di Binance. Le nuove funzionalità hanno affrontato la possibilità di account falsi e saldi negativi e hanno preservato la sicurezza e la privacy degli utenti durante le transazioni.
Precedentemente, Binance si basava sulla semplice crittografia ad albero Merkle per la sicurezza e la trasparenza del sistema.
Varie blockchain hanno adottato il sistema di prova delle riserve basato su Merkle Tree per aumentare la trasparenza del settore dopo il caduta di FTX. Binance ha anche reso il progetto open source a beneficio dell'intero settore delle criptovalute e per garantire agli utenti di sentirsi SAFU.
Identificazione bug
Il team di Hacken ha esaminato tutte le 1157 dipendenze del progetto e ha trovato 42 vulnerabilità, di cui 16 esposte allo sfruttamento pubblico. 20 dipendenze presentavano una grave vulnerabilità, mentre 20 avevano una gravità media.
Tra le gravi vulnerabilità, il team ha identificato due carenze significative nell'albero della somma di Merkle; saldo negativo e privacy.
Gli sviluppatori di Binance hanno immediatamente risposto all'osservazione generando prove zk-SNARK. Le prove contenevano lotti di 864 utenti e ciascuno era interconnesso tramite un hash Poseidon.
Lo hanno scoperto anche i ricercatori di Hacken La prova delle riserve di Binance presentava scappatoie che potevano consentire la generazione di debito falso dell'utente non rilevabile da terzi e la possibilità di creare debito falso.
Il team di tre ricercatori di sicurezza e sviluppatori blockchain guidati da Luciano Ciattaglia ha controllato il codice sorgente e ha scoperto un bug nel sistema che gli ha permesso di aggirare l'asserzione totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual).
Il team ha creato una prova di contraffazione impostando BasePrice a un valore molto alto perché nel parametro mancava una convalida CheckValueInRange, ovvero gli hacker possono creare prove false senza il rilevamento del sistema. Al contrario, BasePrice è un'entità pubblica ed è facile da rilevare quando viene compromessa.
Il bug di overflow di BasePrice significa che è possibile modificare BasePrice senza rilevamento, il che potrebbe ridurre le passività comprovate dallo scambio.
Risposta Binance
Hackens ha contattato Binance dopo aver scoperto i bug aderendo alla loro dedizione a garantire la trasparenza negli scambi. Gli sviluppatori di Binance hanno risposto immediatamente correggendo i bug e annunciando sul loro handle Twitter ufficiale.
Gli sviluppatori di Hacken hanno suggerito a Binance di aggiungere CheckValueInRange per BasePrice per prevenire l'overflow, che il team di Binance ha esaminato e unito il commit di Hacken nel ramo principale di Binance. Binance ha risolto tutte le scappatoie di gravità critica e media identificate.
Tuttavia, Binance non può verificare la validità di alcuna prova generata prima dei test, poiché i bug critici hanno consentito la manomissione dell'importo totale del debito. Gli utenti non possono confermare che qualsiasi prova prima del test non sia compromessa a causa della vulnerabilità.
La blockchain ha anche riconosciuto il lavoro di Hacken come un eccezionale esempio di potere di feedback della comunità. Binance fornisce anche una piattaforma in cui gli utenti possono farlo segnalare o dare un feedback su qualsiasi prodotto di Binance.
Fonte: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/