Звіт: механізм аудиту резервів Binance схильний до атак «фіктивного користувача»
- Експерт Privacy Scaling Explorations представив звіт про вразливість PoR алгоритму компанії Binance.
- Енріко Боттацці вважає, що механізм доказу резервів біржі схильний до атак «фіктивного користувача».
- Уразливість пов’язана з впровадженням функції кредитування клієнтів в алгоритм PoR і дає змогу підробити підсумки аудиту компанії.
Експерт науково-дослідної організації Privacy Scaling Explorations (PSE) Енріко Боттацці стверджує, що виявив вразливість в алгоритмі Proof-of-Reserves (PoR), який використовує криптовалютна біржа Binance.
Докази резервів або PoR — це відомості про зберігання клієнтських активів на біржах. CEO Binance Чанпен Чжао анонсував аудит у листопаді 2022 року. Криптобіржа впровадила цю концепцію після банкрутства компанії FTX, щоб продемонструвати готовність покрити будь-який обсяг запитів на виведення.
Ботацці виявив, що механізм PoR, який використовує Binance, має певні особливості. Вони пов’язані з впровадженням функції кредитування користувачів. Цей компонент вносить в алгоритм доведення резервів додаткову складність, і дає можливість біржі враховувати під час аудиту так званих «фіктивних користувачів».
Йдеться про вигадані облікові записи з пайовою [позитивною] позицією в низьколіквідних активах і борговою [негативною] позицією в продуктах високоліквідної категорії.
Керівництво платформи заявляє, що ця функція не впливає на зобов’язання біржі. Однак, якщо компанія підтримує кредити користувачів, це твердження може бути помилковим, вважає експерт. Зокрема, біржа має можливість використовувати вразливість для зменшення необхідних запасів високоліквідних ончейн-активів, припускає Ботацці.
У звіті складено гіпотетичний сценарій, де фіктивний користувач бере кредит в одній криптовалюті, використовуючи іншу як заставу. У результаті біржа може заявляти про свою платоспроможність, не маючи відповідних резервів, зазначає співробітник PSE. На його думку, така ситуація здатна призвести до неможливості вивести користувацькі активи через нестачу ліквідності ринку.
Одним із варіантів усунення вразливості є зміна протоколу PoR, яка посилить характеристики прозорості для користувачів. Ботацці пише про включення в алгоритм додаткової інформації про заставу та активи кожного клієнта.
Водночас він визнає, що ці зміни можуть бути складними для реалізації через обчислювальне навантаження та потребу в розширенні наявних протоколів роботи.
За словами Енріко Боттацці, розробники Binance також працюють над розв’язанням згаданої проблеми. Компанія запропонувала знизити фактор ризику атаки «фіктивного користувача» шляхом впровадження бізнес-логіки кредитування в схему zk-SNARK.
Кожен користувач отримує третє поле в налаштуваннях свого токена, яке позначається як «застава». У цій графі вказується кількість монет, які користувач заклав для отримання кредиту на інші активи. Аналітик вважає, що такий підхід складніший і дорожчий у плані реалізації.
Зазначимо, що попередній PoR-звіт компанії Binance датований 1 травня 2024 року. Згідно з документом, на користувацьких рахунках біржі зберігається 581 758 BTC на понад $35 млрд. Біткоїн-резерви платформи перевищують 106%.
Що стосується інших активів, то на користувацьких рахунках Binance міститься 22,8 млрд USDT, а також 4,35 млн ETH. У першому випадку резерви стейблкоїна становлять 116,6%, а відносно аудиту Ethereum цей показник перевищує 104%.
Нагадаємо, ми писали, що співробітники Binance звинуватили DWF Labs у маніпулюванні ринком.
