เมื่อวันที่ 14 กุมภาพันธ์ 2023 นักวิจัยของ Hacken ทำการทดสอบและระบุข้อผิดพลาดในระบบ Proof of Reserves ที่ใช้ Binance zkSNARK
Hacken เผยแพร่เสร็จสมบูรณ์ รายงานการประเมินประกาศเมื่อ ทวิตเตอร์ของพวกเขาและแจ้งให้ทีม Binance แก้ไขปัญหาทันที
หลักฐาน Binance ของการอัปเกรดการตรวจสอบการสำรอง
Binance ประกาศการอัปเกรดการตรวจสอบหลักฐานการสำรองเพื่อรวม zk-SNARK คาดว่าการอัปเกรดจะช่วยเพิ่มความโปร่งใสและความปลอดภัยของระบบการตรวจสอบในวันที่ 10 กุมภาพันธ์ 2023
พื้นที่ ระบบหลักฐานการสำรองที่ใช้ zkSNARK การอัปเกรดยังรวมถึงการเพิ่มโปรโตคอลการพิสูจน์ความรู้เป็นศูนย์ในการเข้ารหัสต้นไม้ Merkle ที่มีอยู่ของ Binance ฟีเจอร์ใหม่นี้ระบุถึงความเป็นไปได้ของบัญชีปลอมและยอดคงเหลือติดลบ และรักษาความปลอดภัยและความเป็นส่วนตัวของผู้ใช้ในระหว่างการทำธุรกรรม
ก่อนหน้านี้ Binance อาศัยการเข้ารหัสต้นไม้ Merkle ธรรมดา เพื่อความปลอดภัยและความโปร่งใสของระบบ
บล็อกเชนต่างๆ ใช้ระบบพิสูจน์ปริมาณสำรองตามต้นไม้ของ Merkle เพื่อเพิ่มความโปร่งใสของอุตสาหกรรมหลังจาก การล่มสลายของ FTX. Binance ยังทำให้โครงการเป็นโอเพ่นซอร์สเพื่อประโยชน์ของอุตสาหกรรม crypto ทั้งหมดและทำให้ผู้ใช้รู้สึกถึง SAFU
การระบุข้อผิดพลาด
ทีมงานแฮ็กเกนตรวจสอบการพึ่งพาทั้งหมด 1157 รายการในโครงการและพบช่องโหว่ 42 รายการ โดยมี 16 รายการที่เปิดเผยต่อการแสวงประโยชน์จากสาธารณะ การพึ่งพา 20 รายการมีช่องโหว่ที่รุนแรง ในขณะที่ 20 รายการมีความรุนแรงปานกลาง
จากช่องโหว่ที่รุนแรง ทีมงานได้ระบุข้อบกพร่องที่สำคัญสองประการบน Merkle sum tree; ยอดคงเหลือติดลบและความเป็นส่วนตัว
นักพัฒนา Binance ตอบสนองต่อข้อสังเกตทันทีโดยสร้างหลักฐาน zk-SNARK หลักฐานประกอบด้วยกลุ่มผู้ใช้ 864 ราย และแต่ละรายการเชื่อมโยงกันผ่านโพไซดอนแฮช
นักวิจัยของ Hacken ยังค้นพบอีกว่า หลักฐานการสำรองของ Binance มีช่องโหว่ที่อาจทำให้การสร้างหนี้ของผู้ใช้ปลอมไม่สามารถตรวจจับได้โดยบุคคลที่สาม และมีความเป็นไปได้ในการสร้างหนี้ปลอม
ทีมนักวิจัยด้านความปลอดภัยสามคนและผู้พัฒนาบล็อกเชนที่นำโดย Luciano Ciattaglia ได้ตรวจสอบซอร์สโค้ดและค้นพบจุดบกพร่องในระบบที่ทำให้ข้ามการยืนยัน totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual) ได้
ทีมงานสร้างหลักฐานการปลอมแปลงโดยตั้งค่า BasePrice เป็นค่าที่สูงมาก เนื่องจากพารามิเตอร์ไม่มีการตรวจสอบความถูกต้องของ CheckValueInRange กล่าวคือ แฮ็กเกอร์สามารถสร้างหลักฐานปลอมได้โดยไม่ต้องตรวจหาระบบ ในทางตรงกันข้าม BasePrice เป็นหน่วยงานสาธารณะ และง่ายต่อการตรวจจับเมื่อมีการบุกรุก
จุดบกพร่องที่มากเกินไปของ BasePrice หมายความว่าเราสามารถเปลี่ยน BasePrice โดยปราศจากการตรวจพบ ซึ่งอาจทำให้ภาระหนี้สินที่พิสูจน์จากอัตราแลกเปลี่ยนลดลง
การตอบสนองของ Binance
แฮ็กเก้นติดต่อ Binance หลังจากพบข้อบกพร่องที่ยึดมั่นในความทุ่มเทของพวกเขาเพื่อให้มั่นใจถึงความโปร่งใสในการแลกเปลี่ยน นักพัฒนา Binance ตอบสนองทันทีโดยแก้ไขข้อบกพร่องและประกาศให้ทราบ ทวิตเตอร์อย่างเป็นทางการ.
นักพัฒนาของ Hacken แนะนำให้ Binance เพิ่ม CheckValueInRange สำหรับ BasePrice เพื่อป้องกันไม่ให้เกิน ซึ่งทีมงาน Binance ได้ตรวจสอบและรวมความมุ่งมั่นของ Hacken เข้ากับสาขาหลักของ Binance Binance แก้ไขช่องโหว่ระดับวิกฤตและระดับปานกลางที่ระบุทั้งหมด
อย่างไรก็ตาม Binance ไม่สามารถตรวจสอบการพิสูจน์ใดๆ ที่สร้างขึ้นก่อนการทดสอบว่าถูกต้อง เนื่องจากข้อบกพร่องที่สำคัญอนุญาตให้แก้ไขจำนวนหนี้ทั้งหมดได้ ผู้ใช้ไม่สามารถยืนยันได้ว่าหลักฐานใดๆ ก่อนการทดสอบจะไม่ถูกละเมิดเนื่องจากช่องโหว่นี้
บล็อกเชนยังยอมรับงานของ Hacken ว่าเป็นตัวอย่างที่โดดเด่นของพลังความคิดเห็นของชุมชน Binance ยังมีแพลตฟอร์มที่ผู้ใช้สามารถ รายงานหรือให้ข้อเสนอแนะ ในผลิตภัณฑ์ใด ๆ ของ Binance
ที่มา: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/