Отчет: механизм аудита резервов Binance подвержен атакам «фиктивного пользователя»

• Эксперт Privacy Scaling Explorations представил отчет об уязвимости PoR алгоритма компании Binance.
• Энрико Боттацци считает, что механизм доказательства резервов биржи подвержен атакам «фиктивного пользователя».
• Уязвимость связана с внедрением функции кредитования клиентов в алгоритм PoR и позволяет подделать итоги аудита компании.

Эксперт научно-исследовательской организации Privacy Scaling Explorations (PSE) Энрико Боттацци утверждает, что обнаружил уязвимость в алгоритме Proof-of-Reserves (PoR), который использует криптовалютная биржа Binance.

Доказательства резервов или PoR — это сведения о хранении клиентских активов на биржах. CEO Binance Чанпэн Чжао анонсировал аудит в ноябре 2022 года. Криптобиржа внедрила эту концепцию после банкротства компании FTX, чтобы продемонстрировать готовность покрыть любой объем запросов на вывод.

Ботацци обнаружил, что механизм PoR, используемый Binance, имеет определенные особенности. Они связаны с внедрением функции кредитования пользователей. Этот компонент вносит в алгоритм доказательства резервов дополнительную сложность, и дает возможность бирже учитывать при аудите так называемых «фиктивных пользователей».

Речь идет о несуществующих учетных записях с долевой [положительной] позицией в низколиквидных активах и долговой [отрицательной] позицией в продуктах высоколиквидной категории.

Руководство платформы заявляет, что эта функция не влияет на обязательства биржи. Однако, если компания поддерживает кредиты пользователей, это утверждение может быть ошибочным, считает эксперт. В частности, фирма имеет возможность использовать уязвимость для уменьшения необходимых запасов высоколиквидных ончейн-активов, допускает Ботацци.

В отчете составлен гипотетический сценарий, где фиктивный