Dec 14, 2022 12 min read Blockchain

바이낸스 PoR(Proof of Reserve), 무엇이 문제일까?

바이낸스에 어제 하루 $1.13B이 인출되며 폭풍이 지나갔다. 각종 fud와 뉴스 속에서 인출을 하고, 막상 바이낸스의 PoR에 정확히 어떤 문제가 있다는 것인지 알아보지 못한 이들이 있을 것이다. 바이낸스의 PoR 보고서를 하나씩 뜯어보며 사실 확인을 해보도록 하자.

이번 사태를 간략히 요약하면

12월 7일 바이낸스가 발표한 PoR 보고서에 문제점들이 제기되기 시작 ->

12월 13일 Reuters에서 미국 법무부가 바이낸스를 기소할 예정이라고 보도 ->

이후 각종 fud와 뉴스가 쏟아져 나오며 불안감에 고객들이 자금 인출 시작

먼저 PoR이 뭔지 잘 모르시는 분이 있다면 PoR에 대해 이해하고 읽어주길 바란다. 내가 현재 회장으로 있는(곧 은퇴함 ㅠ) 블록체인 학회 디사이퍼와 체인링크가 최근에 PoR에 관해 기똥찬 세션을 진행했는데 그 요약글이다.

바이낸스는 FTX 사태 이후 PoR 도입을 적극적으로 외치며, 직접 PoR 보고서를 발표했다. 하지만 이 보고서에 문제점이 제기되며 불안 확산이 시작된다. 제기된 문제는 크게 2가지이다.

1) 이걸 공식 오딧이라고 볼 수 없다

2) 비트코인 자산이 부채보다 4% 부족하다

Binance’s “proof of reserve” report doesn’t address effectiveness of internal financial controls, doesn’t express an opinion or assurance conclusion and doesn’t vouch for the numbers. I worked at SEC Enforcement for 18+ yrs. This is how I define “red flag. https://t.co/6oEqmArjS9
— John Reed Stark (@JohnReedStark) December 11, 2022

그냥 문제가 있나 보구나 하고 넘기지 말고 파헤쳐보자. 우선 1) 이걸 공식 오딧이라고 볼 수 없다 는 주장의 이유는 무엇일까? 이번 PoR 보고서는 회계법인 Mazars의 남아프리카 지사에 의해 오딧/작성되었다. Mazars는 90개국 이상에서 총 40000만명 정도의 전문인력을 갖는 회계법인이다.

왜 뜬금 없이 남 아프리카인지 궁금해서 더 찾아봤는데, 파트너 Wiehann Olivier가 저 지사에서 일하기 때문인 것 같다. Olivier에 관한 정보는 많이 없지만, 암호화폐 규제에 관해 강연도 하고 글도 여러개 쓰며 꽤 오랫동안 활동했다. MIT 블록체인 강의도 수강했다.

현재 암호화폐 관련 회계 규정이 정확히 존재하지 않기에, 그나마 이쪽 분야에서 전문가이자 경험자인 Olivier를 택했고, 그가 남 아프리카에 소속되어있기에 인 것 같다. 어쨋든 이번 PoR을 진행한 회계법인과 CPA 파트너 자체에는 큰 문제가 없어 보인다. (혹시 모르지만)

그럼 바이낸스의 PoR 보고서를 자세히 살펴보도록 하자. (12월 14일 기준으로 트윗으로 이 글 썼을때까지만 해도 보고서 파일이 열렸는데, 무슨 이유에선지 모르겠지만 PoR 보고서 url이 열리지 않는다...) 12월 15일부터 보고서의 전반에는 이번 PoR이 AUP(Agreed Upon Procedures) 하에 진행됐다고 언급된다. AUP란 쉽게 말해서 감사 받는 기업이 자신이 감사 받을 구체적인 방식을 정하고, 이를 회계 법인에 요청하는 것이다. 회계법인은 고객사가 먼저 짜놓은 감사 방식에 따라 제 3자로 대신 수행만 해줄 뿐이다.

바이낸스는 자신이 사전에 정한 방식에 따라 PoR을 수행해줄 것을 Mazars에게 요청했고 Mazars는 이를 대신 수행하여 결과를 보고한 것뿐이다. 그래서 보고서에는 Mazars가 PoR이 수행되는 방식 자체의 적정성은 보장하지 않고, 공식 인증(assurance engagement)가 아니라고도 언급되어있다.

자신이 채점 받을 방식을 자기가 직접 정하는 것과 마찬가지이기에, AUP는 보통 내부적인 테스트를 위해 사용하는 방식이지 절대 외부에 공유하기 위한 용도는 아니라는 것이 업계의 표준이다. 따라서 이번 보고서를 유효한 PoR로 볼 수는 없다는 주장에는 일리가 있는 것이다.

이번에 (바이낸스가 직접 정한) PoR 수행 방식을 알아보자.

먼저 알아둬야할 용어->

In-Scope Asset: 고객의 현물, 옵션, 마진, 선물, 펀딩, 대출, 언(earn) 계좌에 들어있는 BTC, ETH, BSC 네트워크의 모든 BTC와 wrapped BTC를 총칭

Out-Scope Asset: 그 외 거래소 계좌 바깥에 있는 BTC

PoR이 수행된 과정은 아래와 같다

1단계: 바이낸스가 11월 22일 12시 정각(UTC)에 In-Scope Asset의 잔고를 나타내는 Asset Balance Reports를 Mazars에게 전달

2단계: 1단계에 명시된 In-Scope Asset을 들고 있는 모든 지갑주소의 공개키를 바이낸스가 Mazars에게 전달

3단계: 각 주소에 있는 비트코인의 양을 합산하여 1단계에 전달 받은 Asset Balance Report와 비교한 결과 1% 이상의 차이 발견 안됨

4단계: 특정한 시간에 특정 주소에서 일정량의 비트코인을 바이낸스가 전송해보도록 시킴. 해당 트랜잭션의 ID를 확인하여 바이낸스 소유 지갑인 것을 확인.

4단계에 대해 추가하하자면, 직접 전송하도록 시킨 것은 BTC 네트워크 내 비트코인뿐이고, ETH/BSC 네트워크의 주소는 스캐너에서 태그가 바이낸스인지 확인했다. 곧 ETH의 PoR을 준비하고 있다는데 이 '전송 실험' 때문에 최근 가스비가 올라간 것은 아닐지 추측한다.

The Ethereum Gas fee once soared to 222 Gwei, as binance consolidated funds from countless deposit addresses to the Binance14 hot wallet in preparation for the next stage of POR check. Binance has completed its BTC reserve and is starting an ETH check. https://t.co/Tan4AEjNMn pic.twitter.com/ylgUZ40pYa
— Wu Blockchain (@WuBlockchain) December 10, 2022

5단계: 바이낸스가 Mazars에게 비트코인 부채를 표시하는 Customer Liability Report를 전달. 고객 id 중복은 없는 체크한 결과 없었음.

6단계: Silver Sixpence Merkle Tree Generating tool를 사용해서 고객 정보들로 머클 루트 해시를 만듬. 해당 머클 루트 해시값은 바이낸스 홈페이지에서 비트코인 보유 고객이 직접 자신의 자산 확인해볼 수 있는 기능에 사용되는 것으로 보임.

7단계: Customer Liability Report에 있는 부채를 합산한 결과 바이낸스가 소유한 In-Scope Asset이 부채의 97%(약 $2억 부족)밖에 되지 않았음. 근데 Out-Scope Asset까지 합산하면 자산이 부채의 101% 존재하므로 문제 없음. 이상. 이렇게 보고서에 마무리가 된다. 구체적인 수치는 아래 참고

바이낸스의 PoR이 공격받은 부분이 이 부분이다. 자산이 왜 부채의 97%밖에 없느냐? 근데 Out-Scope Asset 포함하니 갑자기 101% 된다는 것은 무슨 소리느냐. 이 부분에 대해 설명해주겠다. 바이낸스에서는 마진과 대출 서비스를 통해 암호화폐(여기선 비트코인)를 고객이 대출해갈 수 있다. 고객은 마진(Margin) 서비스에서 레버리지를 위해 암호화폐를 담보로 비트코인을 대출할 수 있고, 대출(Loan) 서비스에서는 법정화폐(및 스테이블코인)을 담보로 맡기고 비트코인을 빌려갈 수 있다. 여기서 고객이 빌려간 비트코인은 In-Scope Asset으로 잡히지 않는다.

즉 고객이 현재 빌려간 비트코인까지 자산으로 계산하면 97%였던 자산/부채 비율이 101%로 올라간다는 결론이다. 지금까지 바이낸스의 PoR 보고서 내용을 자세히 살펴보았다.

사실 개인적인 견해로는, 설마 그렇게 당당하게 큰 목소리를 내고 PoR을 먼저 주장한 Zhangpeng Zhao 형님이 설마 사이코가 아닌 이상 자기도 문제가 있겠어? 라고 생각하지만 이미 모두 교훈을 모두 얻었을 것이다.

Not your keys? Not your bitcoin.

바이낸스는 12월 13일 대량 인출을 다행히 무사히 넘기고 14일 다시 자금이 돌아오기 시작했다. 짱펑자오는 이에 대해 바이낸스는 문제 없으면 건재하다며 여유를 보이기까지 했다. 나도 개인적으로 바이낸스가 고객 자금 지급 불능 상태에 빠질 가능성은 적다고 본다. 설사 지급준비율이 100%에 미치지 못하고 97%라고 해도 이는 현재 사람들이 안전하다고 생각하며 은행에 넣고 있는 은행 정기예금(약 7%)보다 훨씬 안전한 수치이다. 저 정도 차이로 시장이 이렇게나 반응한 것은 다소 비합리적인 패닉런으로 보이며, 특히 최근 FTX 사태 직후에 발생한 일이어서 많은 투자자들이 극히 조심하는 시기이기에 발생했다고 생각한다. 하지만 이 시장에서 절대 무조건 믿을 수 있는 것은 없기에, 가장 안전한 방법은 모두 콜드월렛으로 자산을 옮겨놓는 것이다.

Things seem to have stabilized. Yesterday was not the highest withdrawals we processed, not even top 5. We processed more during LUNA or FTX crashes. Now deposits are coming back in. 🤷‍♂️💪 https://t.co/WLK2KyCym0
— CZ 🔶 Binance (@cz_binance) December 14, 2022

또한 바이낸스의 PoR이 AUP로 시행된 것을 마치 공식 오딧처럼 공유한 것은 오해의 소지가 충분히 있다. 하지만 거래소에 대한 명확한 회계감사 기준이 존재하지 않는 것도 사실이다. 그래서 바이낸스도 일단 없는 기준대로 그나마 있는 것을 내세운 것 같지만 이를 보다 명확히 명시했어야한다. 명확한 회계감사 기준이 생기고 거래소를 감시할 기관이 생겨도 문제가 모두 사라지는 것은 아니다. 2008년 금융위기 당시 3대 신용평가사 Moody's, S&P, Fitch가 도덕적 해이에 빠져 서브프라임 모기지 상품에 대해 정확한 평가를 못했듯이.. 그래도 일단 아예 없다는 문제는 반드시 해결해야한다. 보다 명확한 법과 제도가 마련되어 블록체인 생태계 내 혼란이 줄어들어, 보다 건전한 환경이 조성되길 바라는 마음이다.