Binance раскрывает «атаку с недостатком дизайна» для рынков прогнозирования Augur

По мнению Binance Research, недостаток дизайна в Augur позволяет использовать рынки с неоднозначным прогнозом для получения прибыли . Кроме того, в отчете подробно описаны другие проблемы, которые «мешают» платформе Augur, в том числе прогнозируемая рыночная торговля, низкая ликвидность и ограниченный уровень участия.

В отчете от 1 апреля Binance Research обнаружил множество проблем с Augur, децентрализованной платформой рынка прогнозирования на основе Ethereum , в том числе свидетельства активной торговли на рынках прогнозирования, ограниченный уровень участия пользователей, низкая ликвидность и недостаток дизайна, где злоумышленники потенциально могут обмануть честных пользователей.

Понимание «недостатка дизайна» Авгура

Недостаток заключается в создании рынка прогнозирования, который определяется как «недействительный». Согласно официальному документу Augur, недопустимый рынок — это рынок, который «не подходит для разрешения платформой, например, потому что он неоднозначный, субъективный или результат неизвестен до даты окончания мероприятия ».

[irp]

Тем не менее, эти недействительные рынки иногда трудно (или субъективно) идентифицировать. Вредоносные участники могут воспользоваться этим для получения прибыли.

Когда рынок признается недействительным, игрокам на этом рынке выплачиваются «равные значения для всех возможных результатов». Например, рынок с двумя результатами будет иметь вознаграждение, поровну разделенное между обоими результатами. Рынок с тремя исходами разделил бы его на три части и так далее.

Тем не менее, поскольку некоторые прогнозируемые рыночные результаты различаются по вероятности, стоимость ставок на каждый результат также различается. Создавая рынки (которые могут быть признаны недействительными), где один исход весьма вероятен, а другой маловероятен, злоумышленник может делать ставки на маловероятный результат и прибыль от честных участников, когда рынок считается недействительным.

Предупреждающее сообщение, отображаемое Augur.casino по состоянию на 31 марта 2019 года, кратко описывает проблему:

«Если рынок признается недействительным, каждая акция возвращается трейдерам в равных количествах. Если время начала отчетности (UTC) не наступает после фактического окончания события, или если заголовок / описание и время начала отчетности не совпадают, существует высокая вероятность того, что рынок будет признан недействительным ».

Пример противоречивого рынка

Одним из примеров рынка с повышенным риском является рынок с объемом, превышающим 4000 ETH. Рынок истекает 1 апреля 2019 года в 1:59 утра (UTC + 8). Тем не менее, в разделе дополнительных деталей указано «Общая цена криптовалюты Ethereum на конец дня 31 марта 2019 года по Гринвичу».

[irp]

Поскольку «название / описание и время начала отчетности не совпадают», существует вероятность того, что этот рынок будет признан недействительным. Как утверждает Binance Research:

«Тот факт, что рынок указывает одну конечную дату в заголовке / описании и (немного) другую дату в дате истечения срока действия, делает его недействительным, что позволяет создателю опроса целенаправленно делать ставку на проигрышный результат и получать выплату независимо».

[irp]

Исходя из приведенных выше значений, если рынок будет признан недействительным, ставки на каждый исход будут разрешаться со значением приблизительно 0,33, что означает, что ставки на «$1000 или выше» и «$0 — $100» приведут к 65% выигрышу при ставках по наиболее вероятному результату «$100-$1000 » приведет к 46% убытку.

Тем не менее, в докладе приводился только один прошлый пример недостатка. Тем не менее, этот рынок разрешался нормально, хотя он был целенаправленно расплывчатым и включал потенциальный конфликт дат, предполагая, что управление внутри сети способно решить некоторые из поднятых проблем.

Борьба с плохими участниками

В настоящее время Augur борется с этой проблемой с помощью комбинации механизмов. Во-первых, создатель рынка должен предоставить «гарантированную облигацию» — сумму, поставленную создателем рынка, которая сокращается, если рынок признается недействительным. Тем не менее, поведение рынка указывает на то, что стоимость этих облигаций достаточно низка, когда пользователи могут «неоднократно создавать фиктивные рынки по фиксированной цене», согласно Binance Research.

Второй путь (наряду с другими способами) Авгура решает проблему через механизм разрешения споров. Если урегулирование рынка оспаривается, то владельцы REP могут голосовать, чтобы решить, какой результат является правильным. В некоторых обстоятельствах, даже если технически следует признать рынок недействительным на основании документации Авгура, избиратели могут решить, что рынок с хитрой формулировкой решается на основе разумных толкований избирателей. По сути, это противопоставляет идеологов «код как закон» «прагматичным» избирателям, как сообщает Binance Research.

[irp]

Ответ от сообщества

Сообщество узнало об эксплойте — самое позднее — с 19 марта, опубликовав один популярный пост в Reddit под названием «Авгур в игре! Набирает значительное внимание. Другие крипто-СМИ также освещали этот подвиг с 20 марта.

19 марта Джои Круг, основной разработчик Augur, со-директор по инвестициям Pantera Capital и соучредитель Beam, объяснил, что озабоченность по поводу эксплойта была преувеличена:

This is kinda fake news for a few reasons. #ethereum @AugurProject

1) Almost all of these purposefully confusing markets are being created by one person, not a bunch of people. The activity on those markets is also by one person / address. https://t.co/9jLIeGqun9

— Joey Krug (@joeykrug) March 20, 2019

[irp]

Кроме того, разработчик ядра написал в Твиттере, что новая категория «недействительных» ставок станет доступной в следующей версии Augur, эффективно устраняя уязвимость

2) The system in Augur has a built in way to combat this: a validity bond. The more markets are invalid the higher the bond goes, augur targets 1% of markets as invalid. Right now it’s 10%. Why? There’s a bug on chain in the calculation of this bond which makes it too low

— Joey Krug (@joeykrug) March 20, 2019

Прогресс Авгура в устранении недостатков

По данным Binance Research, команда Augur уже определила упомянутую атаку, а также другие потенциальные улучшения для версии 2 платформы. Тем не менее, отчет также подверг критике проект за неспособность своевременно решить эти проблемы:

«Команда Augur уже признала, что эти технические проблемы были на их радаре 6 месяцев назад, но для защиты пользователей было предпринято мало действий».

Отчет также предоставил несколько потенциальных решений для атаки, в том числе механизм возмещения на основе цены, более четкие предупреждения и раскрытия, и даже новую категорию участников «проверки рынка». Предположительно, если эти проблемы не решены:

«В то время как Augur является сильным примером использования блокчейна, если некоторые из этих проблем не будут должным образом решены в будущем, экосистема Augur может остаться только со своими злонамеренными участниками и наблюдателями, поскольку честные участники остаются, постоянно теряют средства, а затем покидают экосистему », — говорится в сообщении.

Augur, который в настоящее время занимает 39 место по рыночной капитализации, вырос на 7,59% за последние 24 часа. Рыночная капитализация REP составляет $182,18 млн., а объем продаж за 24 часа — $6,9 млн.