Avec le retrait des auditeurs traditionnels du marché, où iront les certificats de réserve CEX ?

Auteur | Qin Xiaofeng
Éditeur | Hao Fangzhou
Produit par | Odaily Planet Quotidien
Avec l'effondrement de FTX, la question des réserves d'actifs des plateformes centralisées, notamment CEX, a suscité beaucoup d'attention. Plusieurs plateformes de trading ont également annoncé successivement les adresses des comptes d'échange, indiquant l'état des réserves de chaque société. Odaily Planet Daily a déjà rédigé une analyse (lecture recommandée « Analyse des détails des réserves d'actifs des sept principales bourses, qui a exposé des risques potentiels ? »). ).
Cependant, les réserves ne sont que la première étape pour améliorer la transparence et ne peuvent pas véritablement démontrer la solvabilité de la bourse. Les engagements de la bourse (c'est-à-dire le montant des dépôts des utilisateurs) doivent également être pris en compte et un « certificat de réserve » complet doit être émis. Pour CEX, la « preuve de réserves » est également une étape importante pour rassurer et permettre aux utilisateurs de mieux comprendre comment la plateforme gère les actifs.
Au cours des dernières semaines, Binance, Crypto.com, Kucoin, etc. ont annoncé des « certificats de réserves » délivrés par des agences d'audit tierces. Cependant, comme Mazars, Armanino et d’autres institutions ont annulé les services d’audit du chiffrement, les utilisateurs du chiffrement sont pleins de doutes et la confiance de CEX a de nouveau déclenché des discussions.
Dans cet article, nous explorerons pourquoi les institutions d’audit traditionnelles hésitent à procéder à des audits avec preuve de réserve cryptographique ? En l’absence d’audit traditionnel, où ira la transparence de CEX ? Le certificat de réserve basé sur les arbres de Merkel peut-il être un moyen efficace pour le secteur de se sauver ?
1. Pourquoi les sociétés d’audit ont-elles abandonné les sociétés de chiffrement ?
Qu'est-ce que la preuve de réserve (PoR) ? C’est un moyen de vérifier qu’une plateforme cryptographique fournit effectivement un support 1:1 pour les actifs numériques qu’elle détient pour le compte de ses clients. En termes simples, si la réserve dans l'adresse du portefeuille de la plateforme de cryptage est supérieure ou égale au dépôt de l'utilisateur, il peut être prouvé que la plateforme dispose de fonds suffisants et peut effectuer des rachats rigides.
Habituellement, les plateformes de chiffrement recherchent des sociétés d’audit tierces jouissant d’une grande réputation pour effectuer des audits et délivrer des certificats de réserve. Plus tôt ce mois-ci, Binance, Crypto.com et Kucoin ont tous embauché le groupe Mazars pour émettre des « certificats de réserve » (Remarque : le groupe Mazars est une société mondiale d'audit, de comptabilité et de conseil fondée en 1945, au service de plus de 90 pays à travers le monde) .
Cependant, le rapport du groupe Mazars a également suscité davantage de controverses. Le Wall Street Journal a commenté que le rapport de Mazars était en réalité une lettre de cinq pages et non un véritable rapport d'audit car il n'abordait pas l'efficacité des contrôles internes de l'information financière. En fin de compte, le groupe Mazars, confronté à la pression de nombreuses parties, a supprimé le rapport d'audit de son site officiel, a complètement arrêté l'outil d'audit Mazars Veritas pour les échanges de crypto-monnaie et a déclaré à l'extérieur qu'il cesserait tout travail avec les sociétés de crypto-monnaie et ne le ferait plus. émettre des rapports de certificats de réserve.
Par coïncidence, Armanino, le cabinet comptable qui effectue des audits pour FTX US Station (FTX.US), prévoit également de mettre fin à ses activités d'audit de cryptage et de cesser de fournir des audits d'états financiers et de réserver des services de reporting de certificat aux sociétés de cryptage. Par ailleurs, le Wall Street Journal a rapporté que le cabinet comptable BDO prévoyait également de suspendre les services d'audit pour les clients de crypto-monnaie. Actuellement, aucun des quatre grands cabinets comptables (Deloitte, Ernst & Young, KPMG et PwC) n’envisage de fournir des services d’audit avec preuve de réserve aux sociétés privées de cryptomonnaie.
Pourquoi les cabinets d’audit évitent-ils les activités de preuve de réserve pour les sociétés de cryptographie ? Les principales raisons sont les suivantes :
Du point de vue de la société d'audit elle-même, le cryptage est encore un tout nouveau domaine. Les auditeurs ne sont pas suffisamment familiers avec le secteur de la chaîne et leurs compétences professionnelles ne sont pas à la hauteur, ils ne peuvent donc apprendre qu'en pratiquant. Le fondateur de Binance, Changpeng Zhao, a déclaré que la plupart des cabinets comptables ne savent pas comment auditer les échanges de crypto-monnaie. Il n’est pas difficile pour les sociétés de chiffrement de tromper les auditeurs « novices » dans des domaines qu’ils connaissent bien.
De plus, lorsque les sociétés d'audit servent des sociétés de cryptographie, elles ne peuvent souvent effectuer des travaux que conformément aux exigences spécifiques de l'entreprise et disposent d'une autonomie insuffisante ; elles vérifient uniquement les certificats de réserve et n'impliquent pas d'audits de contrôle interne, de situation financière et de fiabilité ; le rapport final doit également être compromis. Par exemple, un utilisateur de la plateforme dépose 8 000 BTC et possède 9 000 BTC dans son adresse de portefeuille. Cependant, cela ne signifie pas que l'échange a une solvabilité à 100 %, car 3 000 BTC peuvent avoir été empruntés par la plateforme à un tiers et l'audit a été effectué. entreprise Je ne sais pas. (Remarque : les sociétés d'audit n'auditent généralement que les contrôles internes et la situation financière des sociétés cotées, mais pas des sociétés privées. C'est également une contradiction.)
À en juger par les résultats réels, les sociétés d'audit seront également engagées dans des poursuites pour audit (site) des sociétés de chiffrement, ce qui réduira considérablement leur réputation et affectera le développement des activités non liées au chiffrement. Récemment, deux cabinets comptables qui ont coopéré avec FTX, Armanino et Prager Metis CPAs LLC, ont tous deux été poursuivis en justice par les utilisateurs de FTX et accusés de complot en vue de commettre une extorsion. Le Wall Street Journal a déclaré que les deux cabinets comptables étaient des partisans de FTX, et non des auditeurs sceptiques. D’autres clients de ces cabinets d’audit, autres que le secteur de la cryptographie, craignent que le risque de réputation du cabinet ne remette également en question leurs rapports d’audit, exerçant ainsi une pression sur les cabinets d’audit.
Enfin, à la suite de l’incident FTX, la Securities and Exchange Commission (SEC) des États-Unis renforce la réglementation sur les cabinets d’audit, les obligeant à abandonner leurs clients crypto. Un haut responsable de la SEC a déclaré que le régulateur surveillait de plus en plus le travail des auditeurs pour les sociétés de crypto-monnaie, craignant que les investisseurs puissent tirer un faux sentiment de réconfort à partir des rapports des sociétés.
2. Le certificat de réserve d'arbres Merkel garantit la transparence
En raison de l’absence d’institutions d’audit tierces, de plus en plus de plateformes de trading de crypto-monnaies s’engagent à disposer de leur propre preuve de réserves et à utiliser davantage de méthodes crypto-natives pour prouver leurs réserves d’actifs.
Parmi eux, le certificat de réserve Merkle Tree promu par Binance a attiré beaucoup d'attention. OKX, Bitget et ByBit adoptent également des méthodes similaires. Les détails spécifiques varient selon les échanges. Ces dernières semaines, de nombreuses plateformes, dont Binance, ont utilisé cette solution pour réaliser des audits et l'ont publiée sur leurs sites officiels.
(Annonce de réserve Binance)
Quel est le principe de la preuve de réserve basée sur l'arbre Merk ?
L'arbre Merkle est une technologie cryptographique qui peut compresser les données. En utilisant l'arbre Merkle, plusieurs données peuvent être fusionnées en une seule et les résultats récapitulatifs des données à plus grande échelle peuvent être stockés en même temps, ils peuvent également être compressés par des moyens cryptographiques. que les données correspondantes sont compressées dans les résultats récapitulatifs. Les feuilles d'un arbre Merkle sont constituées de la valeur de hachage de chaque élément de l'ensemble de données. Plus précisément, la construction de la partie feuille consiste à concaténer deux valeurs de hachage adjacentes, à les regrouper dans un seul bloc et à les hacher à nouveau pour produire une valeur de hachage parent. La valeur de hachage finalement intégrée dans la couche supérieure est appelée racine Merkle. La valeur de hachage de la racine de l'arbre Merkel contient les caractéristiques de hachage de toutes les données. Le nœud où les données sont falsifiées présentera une valeur complètement différente.
En termes simples, un arbre Merkle est un arbre binaire haché capable de détecter toute manipulation ou falsification de données. Si les actifs de l'utilisateur sont modifiés, cela sera reflété dans les données de la racine de l'arborescence et présentera une valeur complètement différente. Ce mécanisme garantit que les données de l'arborescence Merk ne peuvent pas être falsifiées.
Par exemple, l'échange prend un instantané des actifs du compte de trading de tous les utilisateurs et les résume dans les actifs totaux de chaque utilisateur. À ce stade, chaque utilisateur se voit attribuer un identifiant de hachage d'utilisateur unique et anonyme. Les actifs totaux de chaque utilisateur seront utilisés comme nœuds feuilles. Les informations sont enregistrées dans l'arborescence Merkle et les actifs de tous les utilisateurs seront résumés dans une racine d'arborescence Merkel. Tant que les informations sur les actifs de chaque utilisateur sont incluses dans les nœuds feuilles de l'arborescence Merkel, il peut être prouvé que leurs actifs sont enregistrés. sont inclus dans le total des actifs des utilisateurs. Afin d'aider les utilisateurs à vérifier, chaque plate-forme a également publié son propre outil de vérification open source "Merkle Validator". Les utilisateurs peuvent saisir leur propre valeur de hachage, leur code utilisateur et d'autres informations pour vérifier si leurs actifs sont inclus dans l'instantané de l'arborescence Merkle.
Bien entendu, les preuves de réserve basées sur les arbres Merk présentent également certaines lacunes.
Premièrement, le certificat de réserve n'est qu'un instantané des actifs de l'utilisateur au moment de l'audit. Toutes les transactions d'actifs après l'instantané et les actifs non couverts par l'audit ne seront pas inclus dans ce résultat d'audit. La plateforme peut transférer entièrement des fonds via Merck. à la date de l'audit. L'arborescence audite et transfère les fonds après l'instantané de l'actif. La solution est que la plateforme de trading peut augmenter la fréquence de divulgation des audits (actuellement, OKX et Binance publient des rapports PoR mensuellement) d'une fois par mois à une fois par semaine, et même évoluer vers une preuve en temps réel à l'avenir. En outre, des agences de surveillance tierces peuvent également surveiller les adresses de portefeuille publiées par la bourse pour observer s'il y a des entrées et des sorties importantes de fonds avant et après la date d'audit.
Deuxièmement, comme les audits traditionnels, les certificats de réserves basés sur les arbres Merk sont également difficiles à refléter la situation financière interne de l'entreprise, comme les relations de responsabilité et les transactions associées, ce qui rend les audits de réserves isolés moins fiables.
Le troisième est le problème de la fraude frontale. Les données de l'arbre Merkle sont stockées sur le propre serveur de l'échange. La page frontale sur laquelle les utilisateurs interagissent avec l'échange est contrôlée par l'échange. Il est tout à fait possible que l'échange renvoie de fausses pages pour tromper les utilisateurs, et il existe une possibilité de front-end. -mettre fin à la fraude ; compte tenu de l’inertie des utilisateurs, les utilisateurs sont de moins en moins susceptibles de s’auto-vérifier via les outils de vérification open source de la plateforme.
La solution consiste à utiliser un service PoR tiers pour augmenter la fiabilité des rapports. Par exemple, Chainlink Labs propose un ensemble de solutions qui peuvent être utilisées directement. Plus précisément, le service utilise des nœuds Chainlink connectés aux API d'échange et à leurs adresses de coffre-fort ; ces nœuds sont à leur tour connectés à un contrat intelligent de preuve de réserve qui peut être interrogé par n'importe quel compte sur le réseau pour identifier l'échange si ses actifs sont égaux à ses Passifs.
Quatrièmement, le certificat de réserve ne couvre qu’une partie des actifs et ne peut pas refléter pleinement le statut capitalistique de la bourse. En prenant Binance comme exemple, son certificat de réserve de première phase concerne uniquement les actifs BTC, et le certificat de deuxième phase est étendu à un total de 9 actifs, dont BTC, ETH, BNB, LTC, USDC, USDT, XRP, BUSD et LINK. Les rapports actuels d'OKX et Bitget ne concernent que trois actifs : BTC, ETH et USDT - Les données Nansen montrent que les trois actifs représentent actuellement respectivement 92,63 % et 63,2 % des réserves d'OKX et Bitget, tandis que le certificat de réserve de Bybit. Le rapport concerne quatre actifs : BTC, ETH, USDT et TRX, représentant 81,13 % de ses réserves de portefeuille, USDC (6,16 %) et BIT (5,96 %) ne sont pas impliqués. Par conséquent, la plate-forme de négociation doit travailler dur pour étendre davantage de vérifications de devises au cours de la prochaine étape, sinon le soi-disant maintien d'une réserve de 1:1 deviendra un discours vide de sens.
3. Résumé
"Le certificat de réserve ne constitue pas une comptabilité complète des actifs et des passifs de la société et n'est pas non plus conforme aux exigences de séparation des fonds des clients en vertu des lois sur les valeurs mobilières, Gary Gensler, président de la SEC américaine, a déclaré que les régulateurs se concentreront toujours sur les dossiers financiers des sociétés de cryptographie." Les sociétés de cryptographie devraient le faire en adhérant à des règles de conservation éprouvées, de séparation des fonds des clients et des règles comptables.
Bien que les agences de régulation telles que la SEC ne soient pas optimistes quant aux certificats de réserve, en l'absence d'audits par des tiers, les certificats de réserve basés sur les arbres Merk peuvent être considérés comme une tentative efficace pour l'industrie de se sauver. Le marché du chiffrement a besoin d’informations plus ouvertes et transparentes, et les plateformes de chiffrement travaillent dur pour rétablir la confiance des utilisateurs. Bien entendu, la vérification en chaîne des réserves est un domaine nouveau et il reste encore un long chemin à parcourir.