14 年 2023 月 XNUMX 日,Hacken 研究人员进行了测试并发现了基于 Binance zkSNARK 的储备证明系统中的一个错误。
哈肯发布了一个完整的 评估报告, 宣布于 他们的推特,并立即通知币安团队解决问题。
Binance proof of reserves 验证升级
币安宣布升级其储备证明验证以包括 zk-SNARKs。 升级预计将在 10 年 2023 月 XNUMX 日提高验证系统的透明度和安全性。
基于 zkSNARK 的储备证明系统 升级还包括为币安现有的 Merkle 树密码学添加零知识证明协议。 新功能解决了虚假账户和负余额的可能性,并在交易过程中保护了用户的安全和隐私。
此前, Binance 依赖于简单的 Merkle 树密码学 为了系统的安全性和透明度。
各种区块链采用基于Merkle-tree的储备证明系统以提高行业透明度。 FTX的陨落. 币安还将该项目开源,以造福整个加密行业,让用户感受到 SAFU。
错误识别
Hacken 团队检查了该项目的所有 1157 个依赖项,发现了 42 个漏洞,其中 16 个漏洞被公开利用。 20 个依赖项具有严重漏洞,而 20 个具有中等严重性。
在严重漏洞中,该团队发现了 Merkle 和树的两个重大缺陷; 负平衡和隐私。
Binance 开发人员立即通过生成 zk-SNARK 证明来回应观察。 证明包含 864 个用户的批次,每个用户都通过 Poseidon 哈希相互关联。
哈肯研究人员还发现 币安的储备证明 存在漏洞,可能会产生第三方无法检测到的虚假用户债务,并有可能产生虚假债务。
由 Luciano Ciattaglia 领导的三名安全研究人员和区块链开发人员组成的团队检查了源代码并发现了系统中的一个漏洞,该漏洞使其能够绕过 totalUserDebt、totalUserEquity (api.AssertIsLessOrEqual) 断言。
该团队通过将 BasePrice 设置为非常高的值来创建伪造证明,因为该参数缺少 CheckValueInRange 验证,即黑客可以在没有系统检测的情况下创建伪造证明。 相反,BasePrice 是一个公共实体,当它遭到破坏时很容易检测到。
BasePrice 溢出错误意味着可以在不被发现的情况下更改 BasePrice,这可能会降低交易所证明的负债。
币安响应
哈肯斯在发现漏洞后联系了币安,因为他们致力于确保交易所的透明度。 Binance 开发人员立即通过修复错误做出回应,并在他们的 官方Twitter句柄.
Hacken 的开发人员建议 Binance 为 BasePrice 添加 CheckValueInRange 以防止溢出,Binance 团队审查并将 Hacken 的提交合并到 Binance 的主分支中。 币安修复了所有已识别的严重和中等严重漏洞。
但是,币安无法验证测试之前生成的任何证明是否有效,因为严重的错误允许篡改总债务金额。 用户无法确认测试前的任何证据是否因该漏洞而被破坏。
区块链还承认 Hacken 的工作是社区反馈力量的杰出范例。 币安还提供了一个平台,用户可以在其中 报告或提供反馈 在币安的任何产品上。
来源:https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/