В механизме аудита резервов Binance найдена уязвимость

Используемый криптовалютной биржей Binance алгоритм Proof-of-Reserves (PoR) содержит уязвимость, связанную с функцией кредитования и учетом так называемых фиктивных пользователей. Об этом заявил эксперт исследовательской организации Privacy Scaling Explorations Энрико Боттацци.

Речь идет о несуществующих учетных записях с долевой (положительной) позицией в низколиквидных активах и долговой (отрицательной) позицией в продуктах высоколиквидной категории.

Эксперт подробно описал сценарий потенциальной атаки, когда фиктивный пользователь берет кредит в одной криптовалюте, используя другую в качестве залога.

«В этом случае баланс для залоговой монеты является отрицательным, в то время как чистый баланс двух монет при конвертации в доллары должен быть положительным. Учитывая, что Binance поддерживает долги пользователей, [не исключена ситуация], при которой биржа сможет заявлять о своей платежеспособности, даже если это не так», — объясняет Боттацци.

Он добавил, что при выводе пользователем высоколиквидных монет, биржа не обязательно сразу же получила бы их в свое распоряжение и была бы обязана ликвидировать низколиквидные активы.

«Однако ликвидация может оказаться невозможной из-за меняющихся рыночных условий, что подвергает пользователя риску невозможности вывести свои средства», — добавил эксперт.

Потенциальным решением Боттацци назвал изменение протокола PoR путем добавления в алгоритм дополнительной информации о залоге и активах каждого клиента.

Со своей стороны Binance ранее предложила включить бизнес-логику кредитования в схему zk-SNARK. Это предполагает создание в конфигурации токена для каждого пользователя третьего поля «залог» с указанием количества монет, используемых в качестве залога для заимствования других активов.

Свежий PoR-отчет Binance датирован 1 мая. Согласно документу, на пользовательских счетах биржи хранится 581 758 BTC (более$35 млрд). Биткоин-резервы платформы превышают 106%.