Binance ma lukę w raporcie dot. swoich rezerw – twierdzi ekspert

10 maja 2024 18:26 ( aktualizacja: 10 maja 2024 18:49 )

Zgodnie z najnowszymi doniesieniami, algorytm używany przez największą na świecie giełdę kryptowalut pod względem dziennym obrotów, znany pod nazwą Proof of Reserve (PoR) może zawierać pewną lukę. O zagrożeniu tym poinformował Enrico Bottazzi z organizacji badawczej Privacy Scaling Explorations.

Wspomniana luka w PoR należącym do Binance dotyczy funkcji pożyczkowej i rozliczania tzw. fikcyjnych użytkowników,
Ekspert z Privacy Scaling Explorations opisał szczegółowo potencjalne ryzyko ataku oraz zaproponował zmiany, aby wyeliminować wady w algorytmie.

Binance z luką w PoR?

Zgodnie z informacjami przekazanymi przez Enrico Bottazzi, PoR należący do Binance podatny jest na potencjalny atak. Wykryta luka w algorytmie ma związek z funkcją pożyczkową oraz rozliczaniem tzw. fikcyjnych użytkowników. Mowa tu o nieistniejących rachunkach z pozycją kapitałową (dodatnią) w aktywach o niskiej płynności i pozycją dłużną (ujemną) w produktach o wysokiej płynności.

On March 26, I found a serious vulnerability in the Binance Proof of Reserves (PoR) protocol and disclosed it to the team.

Here's the report on the vulnerability:https://t.co/bSnu8aog0c

More on that ⬇️

— Enrico Bottazzi | enrico.eth (@backaes) May 8, 2024

Badacz z Privacy Scaling Explorations podał przykład potencjalnego ataku, jaki mógłby zostać przeprowadzony. Fikcyjny użytkownik mógłby bowiem zaciągnąć pożyczkę w jednej kryptowalucie, wykorzystując inną jako zabezpieczenie.

Zgodnie z opisaną przez niego sytuacją, saldo wirtualnej waluty stanowiącej zabezpieczenie byłoby ujemne, podczas gdy saldo netto obu monet po przeliczeniu na dolary powinno być dodatnie. Utrzymując długi użytkowników, giełda nie mogłaby twierdzić, że jest wypłacalna, nawet, gdyby tak było.

Co więcej, w przypadku wycofania przez użytkownika kryptowalut o dużej płynności, Binance niekoniecznie otrzymałby je od razu do swojej dyspozycji, ponadto byłby zobowiązany do upłynnienia aktywów o niskiej płynności.

Likwidacja może jednak nie być możliwa ze względu na zmieniające się warunki rynkowe, co naraża użytkownika na ryzyko braku możliwości wypłaty środków.

– zauważył Enrico Bottazzi.

Potencjalne rozwiązanie problemu

Ekspert, który zauważył lukę, zalecił dodanie zmiany do protokołu PoR, polegającej na dodaniu do algorytmu dodatkowych informacji o zabezpieczeniach i aktywach każdego klienta. Z kolei Binance proponował wcześniej włączenie logiki biznesowej pożyczek do schematu zk-SNARK . Ma to związek z utworzeniem trzeciego pola „zabezpieczenie” w konfiguracji tokena dla każdego użytkownika, wskazującego liczbę monet wykorzystanych, jako zabezpieczenie przy pożyczaniu innych aktywów.

Najnowszy raport dot. PoR od Binance datowany na 1 maja br., ujawnia, że na kontach użytkowników giełdy przechowywanych jest 581 758 monet BTC (ponad 35 mld dol.). Co więcej, wskazuje, iż rezerwy wspomnianej platformy przekraczają 106%.