Preuve de réserves : les audits de réserves peuvent-ils éviter un autre épisode de type FTX ?

Les bourses de crypto-monnaies publient activement des audits de preuve de réserves afin de renforcer la transparence, mais les experts estiment qu'il faudrait plus que cela pour regagner la confiance des investisseurs.
À la suite de l'effondrement de FTX, qui a résulté de la faillite de la bourse de crypto-monnaies qui a canalisé les fonds des utilisateurs pour atténuer ses propres risques, les bourses de crypto-monnaies ont proposé une solution de transparence appelée preuve de réserves.
Une pratique, récemment approuvée par le PDG de Binance, Changpeng Zhao, offre aux bourses un moyen de faire preuve de transparence envers les utilisateurs en l'absence de réglementations claires.
La preuve de réserves (PoR) est un audit indépendant mené par un tiers qui vise à garantir qu'un dépositaire détient les actifs qu'il prétend posséder au nom de ses clients.
Cet auditeur prend un instantané anonymisé de tous les soldes détenus et les regroupe dans un arbre de Merkle.
Un Merkle est un système d'engagement cryptographique dans lequel chaque « feuille », ou nœud, est étiqueté avec le hachage cryptographique d'un bloc de données. Son utilisation principale est la vérification des données traitées, envoyées ou stockées entre ordinateurs. Inventé en 1979, ce concept a trouvé une large application dans les réseaux pair-à-pair blockchain.
Après avoir pris l'instantané, l'auditeur obtient une racine Merkle : une empreinte cryptographique qui identifie de manière unique la combinaison de ces soldes au moment où l'instantané a été créé.
L'auditeur collecte ensuite les signatures numériques produites par la plateforme d'échange cryptographique, qui attestent de la propriété des adresses on-chain, dont les soldes sont publiquement vérifiables. Enfin, il compare et vérifie que ces soldes sont supérieurs ou égaux aux soldes des clients représentés dans l'arbre de Merkle, afin que les actifs des clients soient entièrement détenus en réserve.
Au total, cinq bourses centralisées (CEX), dont Kraken, Bitmex, Coinfloor, Gate.io et HBTC, ont terminé leurs audits de preuve de réserve, tandis que Binance, OKX, KuCoin, Huobi, Poloniex, Crypto.com, Deribit et Bitfinex ont annoncé leur intention de faire de même.
La pratique du PoR était judicieuse et a été saluée par de nombreux membres de la communauté crypto, car elle semblait constituer un pas vers un écosystème crypto plus transparent. Les plateformes d'échange centralisées peuvent consigner le passif de chaque compte dans un registre public contenant des actifs spécifiques. Elles devraient publier avec une étiquette que seuls les titulaires de compte peuvent connaître, préservant ainsi l'anonymat public.
Hassan Sheikh, cofondateur de la société de capital-risque décentralisée DAO Maker, a déclaré à Cointelegraph que la preuve de risque fournit une synthèse claire des passifs exigibles, qui peut être comparée aux actifs. Il a ajouté qu'une bonne pratique de preuve de risque pourrait rendre très difficile pour les plateformes d'échange de falsifier les passifs, expliquant :
Si des passifs sont falsifiés, les utilisateurs peuvent publiquement alerter. Même si 1 % des utilisateurs prennent la peine de vérifier, il serait impossible pour un CEX dont les utilisateurs feraient partie de ce 1 % prudent de vérifier. Les comptes les plus importants seraient presque systématiquement vérifiés, et le CEX pourrait au mieux s'en tirer en ignorant seulement une petite fraction des petits comptes avant d'être détecté.
Il a ajouté qu'avec des passifs publiés publiquement que les investisseurs particuliers peuvent facilement vérifier, « les divulgations d'actifs que font les bourses auraient enfin du sens », ajoutant que les soldes présentés dans ces audits « n'ont de poids que dans l'hypothèse où les passifs sont correctement présentés ».
Ben Sharon, cofondateur de la société de gestion d'actifs numériques Illumishare SRG, a déclaré à Cointelegraph que les escrocs tenteront de falsifier tout audit, quelle que soit la fiabilité des preuves de réserves. Il a ajouté qu'un audit de preuve de réserves reste une mesure viable pour contrôler les plateformes d'échange de cryptomonnaies, mais que cela ne suffit pas. Il a suggéré d'autres mesures, telles que : « Disposer d'une réserve de trésorerie distincte, d'un jeton adossé à des actifs, ou mieux encore, des deux, en plus d'un certificat de preuve de réserves, offrirait aux investisseurs une bien meilleure solution. En fin de compte, la seule solution est une transparence totale. Lorsqu'une plateforme d'échange de cryptomonnaies est totalement transparente, les utilisateurs ne devraient pas hésiter à lui confier leurs actifs. »
Montrer la preuve des réserves sans le passif ne signifie rien
Alors que la pratique du PoR est de plus en plus acceptée par les échanges centralisés, et que beaucoup commencent à publier des données d'audit PoR, le problème des plateformes cryptographiques qui déplacent leurs fonds juste après la prise de l'instantané de l'audit se pose toujours.
 à l'adresse Gate.io après la publication de son audit PoR, alimentant les rumeurs selon lesquelles les plateformes d'échange de cryptomonnaies pourraient falsifier leurs audits de réserves. De nombreux membres de la communauté crypto ont affirmé que les plateformes empruntaient des actifs pour afficher un bilan financier sain, pour ensuite les restituer juste après l'instantané.
Le PDG de Crypto.com, Kris Marszalek, a précisé que le transfert de 400 millions de dollars d'ETH était une erreur et devait être envoyé vers un autre portefeuille froid, suscitant encore plus de soupçons.
Alors que certaines plateformes fournissent des analyses détaillées de leurs réserves lors d'une preuve de risque, d'autres se contentent de réponses rapides, affirmant être rentables. Nexo a simplement présenté un aperçu d'une page indiquant que ses actifs sont supérieurs aux dépôts de ses clients, soit environ 3,2 milliards de dollars.
En examinant certains audits de réserves publiés par les plateformes d'échange, Philipp Zimmerer, contributeur principal du protocole de finance décentralisée Spool.fi, a expliqué à Cointelegraph que le principal problème réside dans l'absence de règles formelles définissant précisément ce qui constitue un audit PoR approprié. Cela signifie que la procédure diffère selon les plateformes d'échange. Il a expliqué : « Même mise en œuvre de manière la plus honnête, une preuve de réserves ne peut prouver la propriété exclusive des clés privées ni détecter des fonds empruntés pour manipuler le résultat de l'audit. En général, cette pratique n'est fiable que dans la mesure où la plateforme d'échange et les auditeurs l'étaient au départ, et ne constituera jamais une preuve à 100 %. »
Il a également noté que montrer les actifs sans montrer les passifs ne vaut rien. Seuls ceux qui peuvent être « dignes de confiance dans une certaine mesure sont les titulaires de licences bancaires onshore entièrement réglementées qui se soumettent à des audits réguliers et complets effectués par des entreprises connues et indépendantes ». Il a cité l'exemple de Coinbase, qui, en tant que société cotée en bourse, rend publiques ses actifs et passifs.
Zimmerer a également mentionné Kraken, une autre bourse enregistrée aux États-Unis, qui effectue des audits réguliers, dont elle publie et diffuse les résultats au public.
Stefan Rust, PDG du fournisseur d'infrastructures de données Truflation, a déclaré à Cointelegraph que la mise en œuvre précoce du PoR semblait être un bon premier pas. Cependant, pour renforcer la confiance et la transparence, il serait plus judicieux d'examiner le bilan global et de surveiller le passif tout en garantissant la transparence des réserves de capital. Il ne s'agit pas seulement des réserves, mais aussi de l'exposition de l'entreprise.
Dans le cas de FTX, plus de 130 entreprises avaient cédé leur passif et leurs revenus. Il en a été de même pour WeWork et plusieurs autres entreprises en pleine expansion. Rust a déclaré : « La preuve de réserve est la première étape. La preuve de passif serait excellente et, compte tenu de FTX, une version indispensable. Enfin, une preuve de constitution ou de consolidation des entreprises liées est nécessaire. Nous devons sensibiliser le marché et la communauté non seulement à l'utilisation de ces outils, mais aussi à leurs avantages. Il est important que les utilisateurs comprennent pourquoi la décentralisation est un élément essentiel non seulement de l'écosystème crypto, mais aussi de l'avenir de la finance et du Web3. »
Interrogé sur le moyen le plus fiable de surveiller les plateformes d'échange de cryptomonnaies, Don Guillaume, responsable des relations publiques et de la communication chez Gate.io, a répondu à Cointelegraph : « La réglementation. Ces dernières années, nous avons constaté des mesures positives prises par les régulateurs du monde entier pour garantir que les plateformes d'échange de cryptomonnaies, et en fait toute entreprise opérant dans ce secteur, soient réglementées et respectent la loi. »
Globalement, les conséquences de l'effondrement de FTX ont suscité des appels à une surveillance réglementaire renforcée du marché des cryptomonnaies. Si les principaux acteurs du marché continuent d'offrir une certaine transparence afin de regagner la confiance du public, les experts estiment que la preuve de réserves ne suffit pas.