Эксперт научно-исследовательской организации Privacy Scaling Explorations (PSE) Энрико Боттацци утверждает, что обнаружил уязвимость в алгоритме Proof-of-Reserves (PoR), который использует криптовалютная биржа Binance.
Доказательства резервов или PoR — это сведения о хранении клиентских активов на биржах. CEO BINANCE Чанпэн Чжао аудит в ноябре 2022 года. Криптобиржа внедрила эту концепцию после , чтобы продемонстрировать готовность покрыть любой объем запросов на вывод.
Ботацци обнаружил, что механизм PoR, используемый Binance, имеет определенные особенности. Они связаны с внедрением функции кредитования пользователей. Этот компонент вносит в алгоритм доказательства резервов дополнительную сложность, и дает возможность бирже учитывать при аудите так называемых «фиктивных пользователей».
Речь идет о несуществующих учетных записях с долевой [положительной] позицией в низколиквидных активах и долговой [отрицательной] позицией в продуктах высоколиквидной категории.
Руководство платформы заявляет, что эта функция не влияет на обязательства биржи. Однако, если компания поддерживает кредиты пользователей, это утверждение может быть ошибочным, считает эксперт. В частности, фирма имеет возможность использовать уязвимость для уменьшения необходимых запасов высоколиквидных ончейн-активов, допускает Ботацци.
В отчете составлен гипотетический сценарий, где фиктивный пользователь берет кредит в одной криптовалюте, используя другую в качестве залога. В результате биржа может заявлять о своей платежеспособности, не имея соответствующих резервов, отмечает сотрудник PSE. По его мнению, такая ситуация способна привести к невозможности вывести пользовательские активы из-за недостатка ликвидности рынка.
Одним из вариантов устранения уязвимости является изменение протокола PoR, которое усилит характеристики прозрачности для пользователей. Ботацци пишет о включении в алгоритм дополнительной информации о залоге и активах каждого клиента.
В то же время он признает, что эти изменения могут быть сложными для реализации из-за вычислительной нагрузки и потребности в расширении существующих протоколов работы.
По словам Энрико Боттацци, разработчики Binance также работают над решением упомянутой проблемы. Компания предложила снизить фактор риска атаки «фиктивного пользователя» путем внедрения бизнес-логики кредитования в схему zk-SNARK.
Каждый пользователь получает третье поле в настройках своего токена, которое обозначается как «залог». В этой графе указывается количество монет, которые пользователь заложил для получения кредита на другие активы. Аналитик считает, что такой подход более сложен и дороже в плане реализации.
Отметим, что предыдущий PoR-отчет компании Binance датирован 1 мая 2024 года. Согласно документу, на пользовательских счетах биржи хранится 581 758 BTC на более чем $35 млрд. Биткоин-резервы платформы превышают 106%.
Что касается других активов, то на пользовательских счетах Binance содержится 22,8 млрд USDT, а также 4,35 млн ETH. В первом случае резервы стейблкоина составляют 116,6%, а при аудите Ethereum этот показатель превышает 104%.
Напомним, мы писали, что сотрудники Binance DWF Labs в манипулировании рынком.
