Binance kripto para borsası tarafından kullanılan Rezerv Kanıtı (PoR) algoritması, borç verme işlevi ve sözde hayali kullanıcıların muhasebeleştirilmesiyle ilgili bir güvenlik açığı içeriyor. Bu, Privacy Scaling Explorations araştırma kuruluşunda uzman olan Enrico Bottazzi tarafından belirtildi.
Düşük likit varlıklarda özsermaye (pozitif) pozisyonu, yüksek likit ürünlerde ise borç (negatif) pozisyonu olan, var olmayan hesaplardan bahsediyoruz.
Uzman, hayali bir kullanıcının başka bir kripto para birimini teminat olarak kullanarak kredi aldığı potansiyel bir saldırı senaryosunu ayrıntılı olarak açıkladı.
“Bu durumda rehin koinin bakiyesi negatif olurken, iki coinin dolara çevrildiğinde net bakiyesinin pozitif olması gerekir. Binance’in kullanıcı borçlarını elinde tuttuğu göz önüne alındığında, borsa olmasa bile ödeme gücünü talep edebilir” diye açıklıyor Bottazzi.
Bir kullanıcının yüksek likit paraları çekmesi durumunda borsanın bunları hemen emrine almayacağını ve düşük likit varlıkları nakde çevirmek zorunda kalacağını da sözlerine ekledi.
Uzman, “Ancak değişen piyasa koşulları nedeniyle tasfiye mümkün olmayabilir, bu da kullanıcıyı fonlarını çekememe riskine maruz bırakır” diye ekledi.
Bottazzi, algoritmaya her müşterinin teminatları ve varlıkları hakkında ek bilgiler ekleyerek PoR protokolünü değiştirmeye yönelik potansiyel bir çözüm olarak adlandırdı.
Binance daha önce borç verme iş mantığını zk-SNARK planına dahil etmeyi önermişti. Bu, her kullanıcı için token konfigürasyonunda, diğer varlıkları ödünç almak için teminat olarak kullanılan koin sayısını belirten üçüncü bir “teminat” alanı oluşturmayı içerir.
En son Binance PoR raporu 1 Mayıs tarihli. Belgeye göre borsanın kullanıcı hesaplarında 581.758 BTC (35 milyar dolardan fazla) saklanıyor. Platformun Bitcoin rezervleri %106’yı aşıyor.
PoR raporu. Veri: Binance.
Aralık 2022’de Castle Island Ventures’ın genel ortağı Nick Carter’ın derecelendirmesinde Binance’in PoR çözümünün kalitesi açısından son sırada yer aldığını hatırlayalım. Uzmanın vardığı sonuçlara göre borsa, yükümlülüklerin tam kapsamını açıklamıyor ve bu da üçüncü bir tarafın prosedürü doğrulamasını zorlaştırıyor.