Hacken 提升 Binance 储备安全证明

2023 年 2 月 14 日，Hacken 研究人员进行了测试并发现了基于 Binance zkSNARK 的储备证明系统中的一个错误。

Hacken 发布了一份完整的评估报告，在他们的 Twitter上宣布，并立即通知币安团队解决这个问题。

Binance 储备证明 验证升级

币安宣布升级其储备证明验证以包括 zk-SNARKs，升级预计将在 2023 年 2 月 10 日提高验证系统的透明度和安全性。

基于zkSNARK的储量证明系统升级还包括为币安现有的 Merkle 树密码学添加零知识证明协议。新功能解决了虚假账户和负余额的可能性，并在交易过程中保护了用户的安全和隐私。

以前，Binance 依靠简单的 Merkle 树加密来实现系统安全性和透明度。

在FTX 垮台后，各种区块链采用基于 Merkle 树的储备证明系统来提高行业透明度。币安还将该项目开源，以造福整个加密行业，让用户感受到 SAFU。

漏洞识别

Hacken 团队检查了该项目的所有 1157 个依赖项，发现了 42 个漏洞，其中 16 个漏洞被公开利用。20 个依赖项具有严重漏洞，而 20 个具有中等严重性。

在严重漏洞中，该团队发现了 Merkle 和树的两个重大缺陷；负平衡和隐私。

Binance 开发人员立即通过生成 zk-SNARK 证明来回应观察。证明包含 864 个用户的批次，每个用户都通过 Poseidon 哈希相互关联。

Hacken 研究人员还发现，Binance 的储备证明存在漏洞，可能会产生第三方无法检测到的虚假用户债务，并有可能产生虚假债务。

由 Luciano Ciattaglia 领导的三名安全研究人员和区块链开发人员组成的团队检查了源代码并发现了系统中的一个错误，该错误使其能够绕过 totalUserDebt、totalUserEquity (api.AssertIsLessOrEqual) 断言。

该团队通过将 BasePrice 设置为非常高的值来创建伪造证明，因为该参数缺少 CheckValueInRange 验证，即黑客可以在没有系统检测的情况下创建伪造证明。相反，BasePrice 是一个公共实体，当它遭到破坏时很容易检测到。

BasePrice 溢出错误意味着可以在不被发现的情况下更改 BasePrice，这可能会降低交易所证明的负债。

Binance 回应

哈肯斯在发现漏洞后联系了币安，因为他们致力于确保交易所的透明度。Binance 开发人员立即通过修复错误做出回应，并在他们的官方 Twitter 句柄上宣布。

Hacken 的开发人员建议 Binance 为 BasePrice 添加 CheckValueInRange 以防止溢出，Binance 团队审查并将 Hacken 的提交合并到 Binance 的主分支中，币安修复了所有已识别的严重和中等严重漏洞。

但是，币安无法验证测试之前生成的任何证明是否有效，因为严重的错误允许篡改总债务金额，用户无法确认测试前的任何证据是否因该漏洞而被破坏。

区块链还承认 Hacken 的工作是社区反馈力量的杰出范例。币安还提供了一个平台，用户可以在该平台上报告或反馈任何币安产品。