14 年 2023 月 XNUMX 日、Hacken の研究者はテストを実行し、Binance zkSNARK ベースのプルーフ オブ リザーブ システムのバグを特定しました。
ハッケンは完全な 評価報告書、それを発表しました 彼らのツイッター、すぐに Binance チームに問題を解決するよう通知しました。
Binance 証拠金検証のアップグレード
Binance は、zk-SNARK を含めるためのプルーフ オブ リザーブ検証のアップグレードを発表しました。 このアップグレードにより、10 年 2023 月 XNUMX 日の検証システムの透明性とセキュリティが向上することが期待されていました。
zkSNARK ベースのプルーフ オブ リザーブ システム アップグレードには、Binance の既存のマークル ツリー暗号へのゼロ知識証明プロトコルの追加も含まれていました。 新しい機能は、偽のアカウントとマイナスの残高の可能性に対処し、トランザクション中のユーザーの安全とプライバシーを保護しました.
以前は、 Binance はプレーンなマークル ツリー暗号に依存していた システムの安全性と透明性のために。
さまざまなブロックチェーンがマークルツリーベースのプルーフオブリザーブシステムを採用して、業界の透明性を高めました。 FTXの崩壊. バイナンスはまた、プロジェクトをオープンソースにして、仮想通貨業界全体に利益をもたらし、ユーザーがSAFUを感じられるようにしました。
バグの識別
Hacken チームは、プロジェクトの 1157 の依存関係すべてを調査し、42 の脆弱性を発見し、そのうち 16 が一般公開されていました。 20 の依存関係には深刻な脆弱性があり、20 には中程度の脆弱性がありました。
重大な脆弱性のうち、チームはマークル サム ツリーの XNUMX つの重大な欠点を特定しました。 負のバランスとプライバシー。
Binance の開発者は、zk-SNARK 証明を生成することで、観察に即座に対応しました。 プルーフには 864 人のユーザーのバッチが含まれており、それぞれが Poseidon ハッシュを介して相互にリンクされていました。
ハッケンの研究者はまた、それを発見しました バイナンスの準備金の証明 第三者が検出できない偽のユーザー債務の生成と、偽の債務を作成する可能性を可能にする抜け穴がありました。
Luciano Ciattaglia が率いる XNUMX 人のセキュリティ研究者とブロックチェーン開発者のチームは、ソース コードをチェックし、totalUserDebt、totalUserEquity (api.AssertIsLessOrEqual) アサーションをバイパスできるシステムのバグを発見しました。
チームは BasePrice を非常に高い値に設定することで偽造防止を作成しました。これは、パラメーターが CheckValueInRange 検証を欠いていたためです。つまり、ハッカーはシステム検出なしで偽造証明を作成できます。 対照的に、BasePrice は公開エンティティであり、侵害されたときに簡単に検出できます。
BasePrice のオーバーフロー バグは、検出されずに BasePrice を変更できることを意味します。
バイナンスの反応
ハッケンズは、取引所の透明性を確保するための献身的な取り組みに付着しているバグを発見した後、Binance に連絡しました。 Binance の開発者は、バグを修正することですぐに対応し、 公式Twitterハンドル.
Hacken の開発者は、Binance が BasePrice に CheckValueInRange を追加してオーバーフローを防ぐことを提案しました。Binance チームはこれを確認し、Hacken のコミットを Binance のメイン ブランチにマージしました。 バイナンスは、特定された重大度および中度の抜け穴をすべて修正しました。
ただし、Binance は、テスト前に生成された証明が有効であることを検証できません。これは、重大なバグにより負債総額が改ざんされる可能性があるためです。 ユーザーは、脆弱性のためにテスト前の証拠が損なわれていないことを確認できません。
ブロックチェーンはまた、Hacken の作品をコミュニティ フィードバックの力の傑出した例として認めました。 バイナンスは、ユーザーができるプラットフォームも提供します 報告またはフィードバック バイナンスの製品のいずれかで。
ソース: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/