14 फरवरी, 2023 को हैकेन के शोधकर्ताओं ने परीक्षण किया और बिनेंस zkSNARK- आधारित प्रूफ ऑफ रिजर्व सिस्टम में एक बग की पहचान की।
Hacken ने पूरा प्रकाशित किया मूल्यांकन पर रिपोर्ट, इसकी घोषणा की उनका ट्विटर, और इस मुद्दे को हल करने के लिए तुरंत Binance टीम को अवगत कराया।
भंडार सत्यापन उन्नयन का बायनेन्स प्रमाण
Binance ने zk-SNARKs को शामिल करने के लिए अपने प्रूफ-ऑफ-रिजर्व सत्यापन पर अपग्रेड की घोषणा की। अपग्रेड से 10 फरवरी, 2023 को सत्यापन प्रणाली की पारदर्शिता और सुरक्षा को बढ़ावा मिलने की उम्मीद थी।
RSI zkSNARK- आधारित रिज़र्व सिस्टम का प्रमाण अपग्रेड में बिनेंस के मौजूदा मर्कल ट्री क्रिप्टोग्राफी में जीरो-नॉलेज प्रूफ प्रोटोकॉल को शामिल करना भी शामिल है। नई सुविधाओं ने लेनदेन के दौरान नकली खातों और नकारात्मक शेष राशि और संरक्षित उपयोगकर्ता सुरक्षा और गोपनीयता की संभावना को संबोधित किया।
इससे पहले, बायनेन्स सादे मर्कल ट्री क्रिप्टोग्राफी पर निर्भर था सिस्टम सुरक्षा और पारदर्शिता के लिए।
उद्योग की पारदर्शिता बढ़ाने के लिए विभिन्न ब्लॉकचेन ने मर्कल-ट्री-आधारित प्रूफ-ऑफ-रिजर्व सिस्टम को अपनाया एफटीएक्स का पतन. Binance ने पूरे क्रिप्टो उद्योग को लाभ पहुंचाने के लिए परियोजना को खुला स्रोत भी बनाया और उपयोगकर्ताओं को SAFU महसूस करने का आश्वासन दिया।
बग पहचान
हैकेन टीम ने परियोजना पर सभी 1157 निर्भरताओं की जांच की और 42 भेद्यताएं पाईं, जिनमें से 16 सार्वजनिक शोषण के संपर्क में थीं। 20 निर्भरताओं में गंभीर भेद्यता थी, जबकि 20 में मध्यम गंभीरता थी।
गंभीर भेद्यताओं में से, टीम ने मर्कल सम ट्री में दो महत्वपूर्ण कमियों की पहचान की; नकारात्मक संतुलन और गोपनीयता।
Binance डेवलपर्स ने तुरंत zk-SNARK प्रूफ जेनरेट करके अवलोकन का जवाब दिया। सबूतों में 864 उपयोगकर्ताओं के बैच शामिल थे, और प्रत्येक एक Poseidon हैश के माध्यम से जुड़ा हुआ था।
हैकेन के शोधकर्ताओं ने यह भी पता लगाया बायनेन्स के भंडार का प्रमाण कमियां थीं जो नकली उपयोगकर्ता ऋण की पीढ़ी को तीसरे पक्ष द्वारा पता लगाने योग्य और नकली ऋण बनाने की संभावना की अनुमति दे सकती थीं।
Luciano Ciattaglia के नेतृत्व में तीन सुरक्षा शोधकर्ताओं और ब्लॉकचेन डेवलपर्स की टीम ने स्रोत कोड की जाँच की और सिस्टम में एक बग की खोज की जिसने इसे TotalUserDebt, TotalUserEquity (api.AssertIsLessOrEqual) अभिकथन को बायपास करने की अनुमति दी।
टीम ने बेसप्राइस को बहुत अधिक मूल्य पर सेट करके नकली-प्रूफ बनाया क्योंकि पैरामीटर में CheckValueInRange सत्यापन गायब था, यानी, हैकर्स बिना सिस्टम डिटेक्शन के नकली प्रूफ बना सकते हैं। इसके विपरीत, बेसप्राइस एक सार्वजनिक संस्था है, और जब यह समझौता किया जाता है तो इसका पता लगाना आसान होता है।
बेसप्राइस ओवरफ्लो बग का मतलब है कि कोई बेसप्राइस को बिना पता लगाए बदल सकता है, जो एक्सचेंज-सिद्ध देनदारियों को कम कर सकता है।
बिनेंस प्रतिक्रिया
एक्सचेंजों में पारदर्शिता सुनिश्चित करने के लिए अपने समर्पण का पालन करने वाले बगों की खोज के बाद हैकन्स ने बिनेंस से संपर्क किया। Binance Developers ने बग्स को ठीक करके तुरंत प्रतिक्रिया दी और उनकी घोषणा की आधिकारिक ट्विटर हैंडल.
हैकेन के डेवलपर्स ने ओवरफ्लो को रोकने के लिए Binance को BasePrice के लिए CheckValueInRange जोड़ने का सुझाव दिया, जिसकी Binance टीम ने समीक्षा की और हैकेन की प्रतिबद्धता को Binance की मुख्य शाखा में मिला दिया। बाइनेंस ने पहचान की गई सभी महत्वपूर्ण और मध्यम गंभीरता वाली खामियों को ठीक किया।
हालाँकि, परीक्षण से पहले उत्पन्न किसी भी प्रमाण को Binance मान्य नहीं कर सकता है, क्योंकि महत्वपूर्ण बग कुल ऋण राशि के साथ छेड़छाड़ की अनुमति देते हैं। उपयोगकर्ता इस बात की पुष्टि नहीं कर सकते हैं कि भेद्यता के कारण परीक्षण से पहले किसी भी प्रमाण से समझौता नहीं किया गया है।
ब्लॉकचेन ने हैकेन के काम को सामुदायिक प्रतिक्रिया शक्ति के उत्कृष्ट उदाहरण के रूप में भी स्वीकार किया। Binance एक प्लेटफ़ॉर्म भी प्रदान करता है जहाँ उपयोगकर्ता कर सकते हैं रिपोर्ट करें या प्रतिक्रिया दें Binance के किसी भी उत्पाद पर।
स्रोत: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/