El 14 de febrero de 2023, los investigadores de Hacken realizaron pruebas e identificaron un error en el sistema de prueba de reservas basado en Binance zkSNARK.
Hacken publicó un completo informe sobre la evaluacion, lo anunció el su Twittere inmediatamente avisó al equipo de Binance para resolver el problema.
Actualización de verificación de prueba de reservas de Binance
Binance anunció una actualización en su verificación de prueba de reservas para incluir zk-SNARK. Se esperaba que la actualización aumentara la transparencia y la seguridad del sistema de verificación el 10 de febrero de 2023.
El Sistema de prueba de reservas basado en zkSNARK La actualización también incluyó la adición de protocolos de prueba de conocimiento cero a la criptografía de árbol Merkle existente de Binance. Las nuevas características abordaron la posibilidad de cuentas falsas y saldos negativos y preservaron la seguridad y privacidad del usuario durante las transacciones.
Anteriormente, Binance se basó en la criptografía simple del árbol de Merkle para la seguridad y transparencia del sistema.
Varias cadenas de bloques adoptaron el sistema de prueba de reservas basado en Merkle-tree para aumentar la transparencia de la industria después de la caída de FTX. Binance también hizo que el proyecto fuera de código abierto para beneficiar a toda la industria de las criptomonedas y asegurar que los usuarios se sientan SAFU.
Identificación de errores
El equipo de Hacken revisó todas las 1157 dependencias del proyecto y encontró 42 vulnerabilidades, con 16 expuestas a explotación pública. 20 dependencias tenían una vulnerabilidad severa, mientras que 20 tenían una gravedad media.
De las vulnerabilidades graves, el equipo identificó dos deficiencias significativas en el árbol de suma de Merkle; saldo negativo y privacidad.
Los desarrolladores de Binance respondieron de inmediato a la observación generando pruebas zk-SNARK. Las pruebas contenían lotes de 864 usuarios, y cada uno se interrelacionó a través de un hash de Poseidón.
Los investigadores de Hacken también descubrieron que Prueba de reservas de Binance tenía lagunas que podían permitir la generación de deuda de usuario falsa indetectable por un tercero y la posibilidad de crear deuda falsa.
El equipo de tres investigadores de seguridad y desarrolladores de blockchain dirigidos por Luciano Ciattaglia verificó el código fuente y descubrió un error en el sistema que le permitía eludir la afirmación totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual).
El equipo creó una prueba de falsificación estableciendo BasePrice en un valor muy alto porque al parámetro le faltaba una validación de CheckValueInRange, es decir, los piratas informáticos pueden crear una prueba falsa sin detección del sistema. Por el contrario, BasePrice es una entidad pública y es fácil de detectar cuando está comprometida.
El error de desbordamiento de BasePrice significa que uno podría cambiar el BasePrice sin detección, lo que podría reducir las responsabilidades comprobadas por el intercambio.
Respuesta binance
Hackens se puso en contacto con Binance después de descubrir los errores que se adhirieron a su dedicación para garantizar la transparencia en los intercambios. Los desarrolladores de Binance respondieron inmediatamente arreglando los errores y anunciando en su identificador oficial de Twitter.
Los desarrolladores de Hacken sugirieron que Binance agregue CheckValueInRange para BasePrice para evitar el desbordamiento, que el equipo de Binance revisó y fusionó el compromiso de Hacken en la rama principal de Binance. Binance arregló todas las lagunas de gravedad crítica y media identificadas.
Sin embargo, Binance no puede verificar ninguna prueba generada antes de las pruebas como válida, ya que los errores críticos permitieron manipular el monto total de la deuda. Los usuarios no pueden confirmar que ninguna prueba antes de la prueba se vea comprometida debido a la vulnerabilidad.
La cadena de bloques también reconoció el trabajo de Hacken como un ejemplo sobresaliente del poder de retroalimentación de la comunidad. Binance también proporciona una plataforma donde los usuarios pueden informar o dar retroalimentación en cualquiera de los productos de Binance.
Fuente: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/