Op 14 februari 2023 voerden Hacken-onderzoekers tests uit en identificeerden een bug in het op Binance zkSNARK gebaseerde Proof of Reserves-systeem.
Hacken publiceerde een compleet verslag uitbrengen over de beoordeling, kondigde het aan hun Twitter, en bracht het Binance-team onmiddellijk op de hoogte om het probleem op te lossen.
Binance proof of reserves verificatie upgrade
Binance heeft een upgrade aangekondigd voor de verificatie van het bewijs van reserves met zk-SNARK's. Verwacht werd dat de upgrade de transparantie en veiligheid van het verificatiesysteem op 10 februari 2023 zou vergroten.
De Op zkSNARK gebaseerd Proof of Reserves-systeem upgrade omvatte ook de toevoeging van zero-knowledge-proof protocollen aan de bestaande Merkle tree-cryptografie van Binance. De nieuwe functies pakten de mogelijkheid van valse accounts en negatieve saldi aan en behielden de veiligheid en privacy van de gebruiker tijdens transacties.
Eerder, Binance vertrouwde op eenvoudige Merkle-boomcryptografie voor systeemveiligheid en transparantie.
Verschillende blockchains hebben het op Merkle-tree gebaseerde proof-of-reserves-systeem overgenomen om de transparantie van de industrie te vergroten na de val van FTX. Binance maakte het project ook open source om de hele crypto-industrie ten goede te komen en ervoor te zorgen dat gebruikers zich VEILIG voelen.
Bug-identificatie
Het Hacken-team heeft alle 1157 afhankelijkheden van het project doorgenomen en 42 kwetsbaarheden gevonden, waarvan er 16 zijn blootgesteld aan openbare uitbuiting. 20 afhankelijkheden hadden een ernstige kwetsbaarheid, terwijl 20 een gemiddelde ernst hadden.
Van de ernstige kwetsbaarheden identificeerde het team twee belangrijke tekortkomingen in de Merkle-somboom; negatief saldo en privacy.
De Binance-ontwikkelaars reageerden onmiddellijk op de waarneming door zk-SNARK-bewijzen te genereren. De bewijzen bevatten batches van 864 gebruikers, en elk met elkaar verbonden via een Poseidon-hash.
Dat ontdekten de Hacken-onderzoekers ook Binance's Bewijs van Reserves had mazen in de wet waardoor valse gebruikersschulden konden worden gegenereerd die niet door een derde partij konden worden opgespoord en de mogelijkheid om valse schulden te creëren.
Het team van drie beveiligingsonderzoekers en blockchain-ontwikkelaars onder leiding van Luciano Ciattaglia controleerde de broncode en ontdekte een bug in het systeem waardoor het de bewering totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual) kon omzeilen.
Het team creëerde een vervalsingsbewijs door BasePrice op een zeer hoge waarde in te stellen omdat de parameter een CheckValueInRange-validatie miste, dwz hackers kunnen nepbewijs maken zonder systeemdetectie. Integendeel, de BasePrice is een openbare entiteit en het is gemakkelijk te detecteren wanneer deze is gecompromitteerd.
De BasePrice-overflow-bug betekent dat men de BasePrice zou kunnen wijzigen zonder detectie, wat de op de beurs bewezen verplichtingen zou kunnen verlagen.
Binance-reactie
Hackens nam contact op met Binance nadat hij de bugs had ontdekt die voldeden aan hun toewijding om transparantie in uitwisselingen te waarborgen. Binance-ontwikkelaars reageerden onmiddellijk door de bugs op te lossen en aan te kondigen op hun officiële Twitter-handle.
De ontwikkelaars van Hacken stelden voor dat Binance CheckValueInRange voor BasePrice zou toevoegen om de overflow te voorkomen, die het Binance-team beoordeelde en de commit van Hacken samenvoegde met de hoofdtak van Binance. Binance loste alle geïdentificeerde kritieke en middelzware achterpoortjes op.
Binance kan echter geen enkel bewijs verifiëren dat vóór de tests is gegenereerd, omdat de kritieke bugs het mogelijk maakten om met het totale schuldbedrag te knoeien. Gebruikers kunnen niet bevestigen dat enig bewijs vóór de test niet is gecompromitteerd vanwege de kwetsbaarheid.
De blockchain erkende ook het werk van Hacken als een uitstekend voorbeeld van feedbackkracht van de gemeenschap. Binance biedt ook een platform waar gebruikers dat kunnen rapporteren of feedback geven op alle producten van Binance.
Bron: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/