Raport: Mechanizm audytu Binance Reserve podatny na ataki „fałszywych użytkowników”.
- Ekspert z Privacy Scaling Explorations przedstawił raport na temat podatności algorytmu PoR Binance.
- Enrico Bottazzi uważa, że mechanizm dowodu rezerwy giełdy jest podatny na ataki „fikcyjnych użytkowników”.
- Podatność związana jest z wprowadzeniem do algorytmu PoR funkcji udzielania pożyczek klientom i pozwala na fałszowanie wyników audytu firmy.
Ekspert organizacji badawczej Privacy Scaling Explorations (PSE), Enrico Bottazzi, twierdzi, że odkrył lukę w algorytmie Proof-of-Reserves (PoR) używanym przez giełdę kryptowalut Binance.
Dowód rezerw lub PoR to informacja o posiadaniu aktywów klientów na giełdach. Dyrektor generalny Binance, Changpeng Zhao, ogłosił audyt w listopadzie 2022 r. Giełda kryptowalut wprowadziła tę koncepcję po bankructwie FTX, aby zademonstrować swoją gotowość do obsługi dowolnej liczby żądań wypłat.
Botazzi odkrył, że mechanizm PoR używany przez Binance ma pewne cechy. Związane są one z realizacją funkcji wypożyczania użytkowników. Komponent ten wprowadza dodatkową złożoność do algorytmu dowodu rezerwy i umożliwia giełdzie uwzględnienie podczas audytu tzw. „fikcyjnych użytkowników”.
Mówimy o nieistniejących rachunkach z [dodatnią] pozycją kapitału w przypadku aktywów o niskiej płynności i [ujemną] pozycją zadłużenia w produktach o wysokiej płynności.
Zarząd platformy twierdzi, że ta funkcja nie ma wpływu na obowiązki giełdy. Jeśli jednak firma wspiera pożyczki użytkowników, to stwierdzenie może być błędne – uważa ekspert. W szczególności firma może wykorzystać tę lukę w celu zmniejszenia wymaganych zapasów wysoce płynnych aktywów w łańcuchu dostaw, przyznaje Botazzi.
Raport przedstawia hipotetyczny scenariusz, w którym fikcyjny użytkownik zaciąga pożyczkę w jednej kryptowalutie, wykorzystując inną jako zabezpieczenie. W efekcie giełda może zadeklarować wypłacalność bez posiadania odpowiednich rezerw – zauważa pracownik PSE. Jego zdaniem taka sytuacja może skutkować brakiem możliwości wycofania aktywów użytkowników ze względu na brak płynności rynku.
Jedną z możliwości usunięcia tej luki jest zmiana protokołu PoR, co poprawi przejrzystość dla użytkowników. Botazzi pisze o uwzględnianiu w algorytmie dodatkowych informacji o zabezpieczeniach i aktywach każdego klienta.
Jednocześnie przyznaje, że zmiany te mogą być trudne do wdrożenia ze względu na obciążenie obliczeniowe i konieczność rozbudowy istniejących protokołów operacyjnych.
Według Enrico Bottazziego, programiści Binance również pracują nad rozwiązaniem wspomnianego problemu. Firma zaproponowała zmniejszenie czynnika ryzyka ataku „fikcyjnego użytkownika” poprzez wprowadzenie logiki biznesowej pożyczkowej do schematu zk-SNARK.
Każdy użytkownik w swoich ustawieniach tokena otrzymuje trzecie pole, które jest oznaczone jako „zabezpieczenie”. Kolumna ta wskazuje liczbę monet, które użytkownik zadeklarował w celu uzyskania pożyczki na inne aktywa. Analityk uważa, że takie podejście jest bardziej złożone i droższe w realizacji.
Należy pamiętać, że poprzedni raport PoR Binance jest datowany na 1 maja 2024 r. Z dokumentu wynika, że na kontach użytkowników giełdy przechowywanych jest 581 758 BTC o wartości ponad 35 miliardów dolarów. Rezerwy Bitcoinów platformy przekraczają 106%.
Jeśli chodzi o inne aktywa, konta użytkowników Binance posiadają 22,8 miliarda USDT, a także 4,35 miliona ETH. W pierwszym przypadku rezerwy stablecoinów wynoszą 116,6%, a podczas audytu Ethereum liczba ta przekracza 104%.
Przypomnijmy, że pisaliśmy, że pracownicy Binance oskarżali DWF Labs o manipulacje na rynku.