ໃນວັນທີ 14 ກຸມພາ 2023, ນັກຄົ້ນຄວ້າແຮັກເຄັນໄດ້ດໍາເນີນການທົດສອບ ແລະລະບຸຂໍ້ຜິດພາດໃນລະບົບຫຼັກຖານຫຼັກຖານທີ່ອີງໃສ່ Binance zkSNARK.
Hacken ເຜີຍແຜ່ສະບັບສົມບູນ ລາຍງານການປະເມີນຜົນ, ປະກາດມັນ Twitter ຂອງເຂົາເຈົ້າ, ແລະທັນທີທັນໃດ approved ທີມງານ Binance ແກ້ໄຂບັນຫາ.
Binance ຫຼັກຖານຢັ້ງຢືນການຍົກລະດັບການຢັ້ງຢືນ
Binance ປະກາດການຍົກລະດັບໃນການກວດສອບຫຼັກຖານສະແດງການສະຫງວນຂອງຕົນເພື່ອປະກອບມີ zk-SNARKs. ການຍົກລະດັບດັ່ງກ່າວຄາດວ່າຈະເພີ່ມຄວາມໂປ່ງໃສ ແລະຄວາມປອດໄພຂອງລະບົບການກວດສອບໃນວັນທີ 10 ກຸມພາ 2023.
ໄດ້ ລະບົບຫຼັກຖານສະຫງວນທີ່ອີງໃສ່ zkSNARK ການອັບເກຣດຍັງລວມເຖິງການເພີ່ມໂປຣໂຕຄໍຫຼັກຖານຄວາມຮູ້ທີ່ບໍ່ມີຄວາມຮູ້ໃຫ້ກັບ Binance's Merkle tree cryptography. ຄຸນສົມບັດໃໝ່ໄດ້ແກ້ໄຂຄວາມເປັນໄປໄດ້ຂອງບັນຊີປອມ ແລະຍອດຄົງເຫຼືອທາງລົບ ແລະຮັກສາຄວາມປອດໄພຂອງຜູ້ໃຊ້ ແລະຄວາມເປັນສ່ວນຕົວໃນລະຫວ່າງການເຮັດທຸລະກໍາ.
ກ່ອນຫນ້ານັ້ນ, Binance ອາໄສການເຂົ້າລະຫັດຕົ້ນໄມ້ Merkle ທຳມະດາ ເພື່ອຄວາມປອດໄພແລະຄວາມໂປ່ງໃສຂອງລະບົບ.
blockchains ຕ່າງໆໄດ້ຮັບຮອງເອົາລະບົບຫຼັກຖານສະແດງຂອງຕົ້ນໄມ້ Merkle-based ເພື່ອເພີ່ມຄວາມໂປ່ງໃສຂອງອຸດສາຫະກໍາຫຼັງຈາກ ການຫຼຸດລົງຂອງ FTX. Binance ຍັງໄດ້ສ້າງແຫຼ່ງເປີດໂຄງການເພື່ອເປັນປະໂຫຍດຕໍ່ອຸດສາຫະກໍາ crypto ທັງຫມົດແລະໃຫ້ແນ່ໃຈວ່າຜູ້ໃຊ້ມີຄວາມຮູ້ສຶກ SAFU.
ການກໍານົດແມງໄມ້
ທີມງານ Hacken ໄດ້ຜ່ານທຸກ 1157 ຂຶ້ນກັບໂຄງການແລະພົບເຫັນ 42 ຊ່ອງໂຫວ່, ມີ 16 ໄດ້ຮັບການຂູດຮີດສາທາລະນະ. 20 ການເພິ່ງພາອາໄສມີຊ່ອງໂຫວ່ຮ້າຍແຮງ, ໃນຂະນະທີ່ 20 ມີຄວາມຮຸນແຮງປານກາງ.
ໃນບັນດາຈຸດອ່ອນທີ່ຮຸນແຮງ, ທີມງານໄດ້ກໍານົດສອງຂໍ້ບົກຜ່ອງທີ່ສໍາຄັນກ່ຽວກັບຕົ້ນໄມ້ Merkle sum; ຄວາມສົມດຸນທາງລົບ ແລະຄວາມເປັນສ່ວນຕົວ.
ນັກພັດທະນາ Binance ຕອບສະຫນອງທັນທີຕໍ່ການສັງເກດການໂດຍການສ້າງຫຼັກຖານສະແດງ zk-SNARK. ຫຼັກຖານສະແດງບັນຈຸຂອງຜູ້ໃຊ້ 864 ຄົນ, ແລະແຕ່ລະຄົນ interlinked ໂດຍຜ່ານການ hash Poseidon.
ນັກຄົ້ນຄວ້າ Hacken ຍັງໄດ້ຄົ້ນພົບວ່າ ຫຼັກຖານສະແດງການສະຫງວນຂອງ Binance ມີຊ່ອງຫວ່າງທີ່ສາມາດອະນຸຍາດໃຫ້ການສ້າງຫນີ້ສິນຂອງຜູ້ໃຊ້ປອມບໍ່ສາມາດກວດພົບໄດ້ໂດຍພາກສ່ວນທີສາມແລະຄວາມເປັນໄປໄດ້ຂອງການສ້າງຫນີ້ສິນປອມ.
ທີມງານຂອງສາມນັກຄົ້ນຄວ້າຄວາມປອດໄພແລະນັກພັດທະນາ blockchain ນໍາພາໂດຍ Luciano Ciattaglia ກວດເບິ່ງລະຫັດແຫຼ່ງແລະຄົ້ນພົບຂໍ້ບົກພ່ອງໃນລະບົບທີ່ອະນຸຍາດໃຫ້ມັນຂ້າມຜ່ານ totalUserDebt, totalUserEquity (api.AssertIsLessOrEqual) ຢືນຢັນ.
ທີມງານໄດ້ສ້າງຫຼັກຖານສະແດງການປອມແປງໂດຍການຕັ້ງ BasePrice ຢູ່ໃນມູນຄ່າທີ່ສູງຫຼາຍເພາະວ່າພາລາມິເຕີຂາດການກວດສອບ CheckValueInRange, ie, ແຮກເກີສາມາດສ້າງຫຼັກຖານສະແດງປອມໂດຍບໍ່ມີການກວດສອບລະບົບ. ໃນທາງກົງກັນຂ້າມ, BasePrice ແມ່ນນິຕິບຸກຄົນສາທາລະນະ, ແລະມັນງ່າຍທີ່ຈະກວດພົບເມື່ອມັນຖືກບຸກລຸກ.
ຂໍ້ຜິດພາດຂອງ BasePrice overflow ຫມາຍຄວາມວ່າຄົນເຮົາສາມາດປ່ຽນແປງ BasePrice ໂດຍບໍ່ມີການກວດພົບ, ເຊິ່ງອາດຈະຫຼຸດລົງຄວາມຮັບຜິດຊອບທີ່ພິສູດໂດຍການແລກປ່ຽນ.
Binance ຕອບສະຫນອງ
ແຮກເກີຕິດຕໍ່ກັບ Binance ຫຼັງຈາກຄົ້ນພົບແມງໄມ້ທີ່ຍຶດຫມັ້ນກັບການອຸທິດຕົນເພື່ອຮັບປະກັນຄວາມໂປ່ງໃສໃນການແລກປ່ຽນ. ນັກພັດທະນາ Binance ຕອບສະຫນອງທັນທີໂດຍການແກ້ໄຂຂໍ້ບົກພ່ອງແລະປະກາດກ່ຽວກັບພວກມັນ ການຈັດການ Twitter ຢ່າງເປັນທາງການ.
ນັກພັດທະນາຂອງ Hacken ແນະນໍາວ່າ Binance ເພີ່ມ CheckValueInRange ສໍາລັບ BasePrice ເພື່ອປ້ອງກັນການ overflow, ເຊິ່ງທີມງານ Binance ໄດ້ທົບທວນຄືນແລະລວມຄໍາຫມັ້ນສັນຍາຂອງ Hacken ເຂົ້າໄປໃນສາຂາຕົ້ນຕໍຂອງ Binance. Binance ໄດ້ແກ້ໄຂຊ່ອງຫວ່າງຄວາມຮ້າຍແຮງ ແລະ ປານກາງທັງໝົດທີ່ລະບຸໄວ້.
ຢ່າງໃດກໍຕາມ, Binance ບໍ່ສາມາດກວດສອບຫຼັກຖານໃດໆທີ່ສ້າງຂຶ້ນກ່ອນການທົດສອບທີ່ຖືກຕ້ອງ, ເນື່ອງຈາກວ່າຂໍ້ບົກພ່ອງທີ່ສໍາຄັນໄດ້ອະນຸຍາດໃຫ້ຂັດຂວາງກັບຈໍານວນຫນີ້ສິນທັງຫມົດ. ຜູ້ໃຊ້ບໍ່ສາມາດຢືນຢັນວ່າຫຼັກຖານໃດໆກ່ອນການທົດສອບບໍ່ໄດ້ຖືກຫຼຸດຫນ້ອຍລົງເນື່ອງຈາກຄວາມອ່ອນແອໄດ້.
blockchain ຍັງໄດ້ຮັບຮູ້ການເຮັດວຽກຂອງ Hacken ເປັນຕົວຢ່າງທີ່ໂດດເດັ່ນຂອງພະລັງງານຄວາມຄິດເຫັນຂອງຊຸມຊົນ. Binance ຍັງສະຫນອງເວທີທີ່ຜູ້ໃຊ້ສາມາດເຮັດໄດ້ ລາຍງານຫຼືໃຫ້ຄໍາຄຶດຄໍາເຫັນ ກ່ຽວກັບຜະລິດຕະພັນໃດໆຂອງ Binance.
ທີ່ມາ: https://crypto.news/hacken-boosts-binance-proof-of-reserves-security/