Jump Crypto (JC) опублікував дослідницьку статтю 21 грудня, в якій аналізується вразливість Proof of Solvency (PoS) і те, як PoS працює в теорії, але не на практиці.
In Стаття, дослідницька кількісна торгова фірма стверджує:
«Щоб підтвердити наявність механізмів платоспроможності, щоб запобігти незаконному привласненню споживчих депозитів біржею, споживачі повинні перевірити, чи включені їхні депозити до звітного списку депозитів біржі».
Як механізм, який використовується біржами для відображення наявних депозитів клієнтів, у звіті зазначено, що механізм PoS не завжди ефективний на практиці.
«Якщо біржі можуть передбачити майбутні атестації або посіяти сумніви щодо невдалих атестацій, вони можуть успішно привласнити кошти споживачів».
JC заявив, що «сильні ймовірні гарантії», які теоретично резервують PoS, «на практиці надзвичайно крихкі».
Недоліки на практиці
Висновки JC сформулювали три точки зору, які виявляють недоліки в надійності механізмів PoS. Вони є:
- З точки зору верифікації: JC заявив, що «біржі можуть не контролювати адреси в мережі, які вони заявляють».
- З фінансової точки зору: JC заявив, що PoS «не гарантує фактичної корпоративної платоспроможності, оскільки біржі тримають інші активи та пасиви на своєму балансі».
- З технічної точки зору: JC заявив, що PoS «не обов’язково є plug-and-play і вимагає обережності у виборі відповідного підходу».
JC визнав, що криптоспільнота вже частково знає про ці недоліки, але запропонував додатково розглянути питання про припинення обміну невдалими перевірками PoS.
Невдала перевірка PoS
JC припустив, що важливо як для бірж, так і для користувачів — розглянути механізм запуску перевірок користувачами та порушувати потенційні проблеми для відновлення ефективності PoS.
«Біржа, ймовірно, може передбачити, які споживачі будуть перевіряти, і біржа також, ймовірно, може приховати декілька невдалих перевірок — це означає, що вона може послабити або підірвати ймовірнісну безпеку, яку пропонує підтвердження платоспроможності».
JC також запропонував користувачам вивчити механізми розгляду невдалих перевірок PoS.
«Якщо перевірка не вдається, часто немає офіційних механізмів для ескалації або перевірки, залишаючи користувачів оприлюднити це в Twitter або інших соціальних каналах».
Публікуючи в соціальних мережах, JC заявив, що «самотній голос або кілька голосів, які сперечаються в Twitter, можна легко прийняти за FUD».
JC також попередив, що шкідливі біржі можуть «легко спертися на цей наратив», звернувши публічну критику користувачів проти них, назвавши їх «фермерами залучення та переконавши своїх користувачів ігнорувати їх».
Потенційні рішення
JC назвав п’ять окремих змін, які біржі можуть запровадити, щоб допомогти пом’якшити обговорювані вразливості, але недоліки залишаються:
- Біржі можуть допомогти користувачам перевірити фінансову стабільність, але це може призвести до того, що біржі збиратимуть більше інформації про користувачів і потенційно заплутатимуть користувачів.
- Біржі можуть пропонувати винагороду за виявлення неправильних свідоцтв, але це може призвести до хибних спрацьовувань і жодних наслідків у разі фальшивих звинувачень.
- Біржі можуть автоматично надсилати користувачам деревоподібні або користувацькі підтвердження, що може збільшити кількість помилкових спрацьовувань і відлякати нових користувачів.
- Біржі можуть генерувати докази швидше та частіше, що може дозволити біржам змінювати докази після розслідування.
- Біржі можуть використовувати таємних аудиторів, але це може знизити довіру до процесу.
JC завершив дослідницьку статтю такими словами:
«Ця стаття не є критикою бірж, які швидко розбудовують свою інфраструктуру підтвердження платоспроможності. Це гідні похвали та своєчасні зусилля, і ми очікуємо, що з часом ці механізми стануть більш поширеними та зрілими».
Джерело: https://cryptoslate.com/jump-crypto-releases-research-on-proof-of-solvency-vulnerabilities/