14년 2023월 XNUMX일, Hacken 연구원은 Binance zkSNARK 기반 Proof of Reserves 시스템에서 테스트를 실행하고 버그를 식별했습니다.
Hacken은 완전한 평가 보고서, 에 발표 그들의 트위터, 바이낸스 팀에 즉시 승인하여 문제를 해결했습니다.
바이낸스 준비금 증명 검증 업그레이드
Binance는 zk-SNARK를 포함하도록 보유 증명 검증에 대한 업그레이드를 발표했습니다. 업그레이드를 통해 10년 2023월 XNUMX일 인증 시스템의 투명성과 보안이 강화될 것으로 예상되었습니다.
XNUMXD덴탈의 zkSNARK 기반 보유량 증명 시스템 업그레이드에는 바이낸스의 기존 머클 트리 암호화에 대한 영지식 증명 프로토콜 추가도 포함되었습니다. 새로운 기능은 가짜 계정과 마이너스 잔액의 가능성을 해결하고 거래 중 사용자 안전과 개인 정보를 보호합니다.
이전 Binance는 일반 Merkle 트리 암호화에 의존했습니다. 시스템 안전과 투명성을 위해.
다양한 블록체인은 머클트리 기반의 보유량 증명 시스템을 채택하여 산업 투명성을 높였습니다. FTX의 몰락. 바이낸스는 또한 전체 암호화폐 산업에 혜택을 주고 사용자가 SAFU를 느낄 수 있도록 프로젝트를 오픈 소스로 만들었습니다.
버그 식별
Hacken 팀은 프로젝트에 대한 1157개의 종속성을 모두 살펴보고 42개의 취약점을 발견했으며 그중 16개는 공개 악용에 노출되었습니다. 20개의 종속성은 심각한 취약성이 있었고 20개의 종속성은 중간 정도의 심각도를 가졌습니다.
심각한 취약점 중에서 팀은 Merkle 합계 트리에서 두 가지 중요한 단점을 식별했습니다. 부정적인 균형과 프라이버시.
바이낸스 개발자는 즉시 zk-SNARK 증명을 생성하여 관찰에 응답했습니다. 증명에는 864명의 사용자 배치가 포함되어 있으며 각 사용자는 Poseidon 해시를 통해 서로 연결되어 있습니다.
Hacken 연구원들은 또한 바이낸스의 준비금 증명 제XNUMX자가 감지할 수 없는 가짜 사용자 부채 생성과 가짜 부채 생성 가능성을 허용할 수 있는 허점이 있었습니다.
Luciano Ciattaglia가 이끄는 XNUMX명의 보안 연구원 및 블록체인 개발자 팀은 소스 코드를 확인하고 시스템에서 totalUserDebt, totalUserEquity(api.AssertIsLessOrEqual) 어설션을 우회할 수 있는 버그를 발견했습니다.
매개변수에 CheckValueInRange 유효성 검사가 없기 때문에 팀은 BasePrice를 매우 높은 값으로 설정하여 위조 방지를 만들었습니다. 즉, 해커가 시스템 감지 없이 위조 증명을 만들 수 있습니다. 반대로 BasePrice는 공공 기관이며 언제 손상되었는지 쉽게 감지할 수 있습니다.
BasePrice 오버플로 버그는 BasePrice가 감지되지 않고 변경될 수 있음을 의미하며, 이는 교환 증명 부채를 낮출 수 있습니다.
바이낸스 응답
Hackens는 거래소의 투명성을 보장하기 위한 헌신을 고수하는 버그를 발견한 후 Binance에 연락했습니다. Binance 개발자는 버그를 수정하여 즉시 응답하고 그들의 공식 트위터 핸들.
Hacken의 개발자는 Binance 팀이 Hacken의 커밋을 검토하고 Binance의 메인 브랜치에 병합한 오버플로를 방지하기 위해 Binance가 BasePrice에 CheckValueInRange를 추가할 것을 제안했습니다. Binance는 식별된 모든 중요 및 중간 심각도 허점을 수정했습니다.
그러나 Binance는 총 부채 금액을 조작할 수 있는 치명적인 버그로 인해 테스트 전에 생성된 모든 증거가 유효한지 확인할 수 없습니다. 사용자는 취약점으로 인해 테스트 전 증명이 손상되지 않았는지 확인할 수 없습니다.
블록체인은 또한 Hacken의 작업을 커뮤니티 피드백 파워의 탁월한 사례로 인정했습니다. Binance는 또한 사용자가 다음을 수행할 수 있는 플랫폼을 제공합니다. 보고 또는 피드백 제공 바이낸스의 모든 제품에서.
출처: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/