14 оны 2023-р сарын XNUMX-нд Хакен судлаачид туршилт хийж, Binance zkSNARK-д суурилсан Proof of Reserves системд алдаа илрүүлсэн.
Хакен бүрэн эхээр нь нийтэлсэн үнэлгээний тайлан, дээр зарласан тэдний твиттер, мөн тэр даруй Binance багт асуудлыг шийдвэрлэхийг зөвшөөрөв.
Нөөцийн баталгаажуулалтын шинэчлэлийн Binance баталгаа
Binance нь zk-SNARK-уудыг оруулахын тулд нөөцийн баталгааны баталгаажуулалтаа сайжруулж байгаагаа зарлав. Шинэчлэлт нь 10 оны 2023-р сарын XNUMX-нд баталгаажуулалтын системийн ил тод байдал, аюулгүй байдлыг нэмэгдүүлэх болно гэж таамаглаж байсан.
The zkSNARK-д суурилсан Proof of Reserves систем Шинэчлэлд мөн Binance-ийн одоо байгаа Merkle модны криптографид тэг мэдлэг нотлох протоколуудыг нэмж оруулсан болно. Шинэ боломжууд нь хуурамч данс, сөрөг үлдэгдэл үүсгэх боломжийг шийдэж, гүйлгээ хийх явцад хэрэглэгчийн аюулгүй байдал, нууцлалыг хадгалсан.
Өмнө нь Binance нь энгийн Merkle модны криптограф дээр тулгуурласан системийн аюулгүй байдал, ил тод байдлын төлөө.
Төрөл бүрийн блокчэйнүүд үйлдвэрлэлийн ил тод байдлыг нэмэгдүүлэхийн тулд Merkle-tree-д суурилсан нөөцийг баталгаажуулах системийг нэвтрүүлсэн. FTX уналт. Binance нь крипто үйлдвэрлэлийн салбарт бүхэлд нь ашиг тусаа өгөхийн тулд уг төслийг нээлттэй эх сурвалж болгож, хэрэглэгчдэд SAFU-г мэдэрдэг болгосон.
Алдаа таних
Hacken-ийн баг төслийн 1157 хамаарлыг бүгдийг нь судалж үзээд 42 эмзэг байдлыг илрүүлсний 16 нь олон нийтийн мөлжлөгт өртсөн байна. 20 хамаарал нь ноцтой эмзэг байдалтай байсан бол 20 нь дунд зэргийн хүндрэлтэй байсан.
Ноцтой эмзэг байдлаас багийнхан Меркле сумын модны хоёр чухал дутагдлыг илрүүлсэн; сөрөг үлдэгдэл ба нууцлал.
Binance хөгжүүлэгчид zk-SNARK нотлох баримтуудыг бий болгосноор ажиглалтад тэр даруй хариу өгсөн. Нотлох баримтууд нь 864 хэрэглэгчийн багцыг агуулсан бөгөөд тус бүр нь Poseidon хэшээр холбогдож байв.
Хакен судлаачид ч үүнийг олж мэдсэн Binance-ийн нөөцийн баталгаа Гуравдагч этгээдэд үл мэдэгдэх хэрэглэгчийн өрийг бий болгож, хуурамч өр үүсгэх боломжийг олгох цоорхойтой байсан.
Luciano Ciattaglia тэргүүтэй гурван аюулгүй байдлын судлаач, блокчейн хөгжүүлэгчдийн баг эх кодыг шалгаж, системийн алдааг олж илрүүлсэн бөгөөд энэ нь totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual) батламжийг давах боломжийг олгосон юм.
Баг нь энэ параметрт CheckValueInRange баталгаажуулалт байхгүй байсан тул BasePrice-ийг маш өндөр үнээр тохируулснаар хуурамч баталгааг бий болгосон, өөрөөр хэлбэл хакерууд системийг илрүүлэхгүйгээр хуурамч нотлох баримт үүсгэж чаддаг. Эсрэгээр, BasePrice нь олон нийтийн байгууллага бөгөөд түүнийг эвдэрсэн үед илрүүлэхэд хялбар байдаг.
Үндсэн үнийг хэтрүүлсэн алдаа нь үндсэн үнийг илрүүлэхгүйгээр өөрчлөх боломжтой гэсэн үг бөгөөд энэ нь солилцоогоор батлагдсан өр төлбөрийг бууруулж болзошгүй юм.
Binance хариулт
Хакерс солилцооны ил тод байдлыг хангахын тулд өөрсдийн хүчин чармайлтаа баримталж буй алдаануудыг олж мэдсэнийхээ дараа Binance-тай холбоо барьсан. Binance хөгжүүлэгчид алдаагаа засч, тэдний талаар зарласнаар тэр даруй хариу өгсөн албан ёсны твиттер бариул.
Hacken-ийн хөгжүүлэгчид хэт их ачааллаас урьдчилан сэргийлэхийн тулд Binance-д CheckValueInRange-г BasePrice-д нэмэхийг санал болгосон бөгөөд үүнийг Binance баг хянаж үзээд Hacken-ийн амлалтыг Binance-ийн үндсэн салбар болгон нэгтгэсэн. Binance бүх тодорхойлсон ноцтой болон дунд зэргийн цоорхойг зассан.
Гэсэн хэдий ч, чухал алдаанууд нь нийт өрийн хэмжээг өөрчлөх боломжийг олгосон тул Binance туршилтаас өмнө гаргасан аливаа нотлох баримтыг хүчинтэй гэж баталгаажуулж чадахгүй. Хэрэглэгчид эмзэг байдлын улмаас туршилтын өмнө ямар нэгэн нотлох баримтууд эвдэрч чадахгүй гэдгийг баталж чадахгүй.
Блокчейн нь мөн Хакены ажлыг олон нийтийн санал хүсэлтийн чадавхийн гайхалтай жишээ гэдгийг хүлээн зөвшөөрсөн. Binance нь хэрэглэгчдэд боломжтой платформоор хангадаг мэдээлэх эсвэл санал хүсэлт өгөх Binance-ийн аль ч бүтээгдэхүүн дээр.
Эх сурвалж: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/