Con il crescente interesse per gli asset digitali da parte degli investitori istituzionali e al dettaglio, anche le opzioni di custodia hanno registrato una crescita parallela. Di conseguenza, diversi tipi di scelte di custodia si sono evoluti man mano che il mercato cambia, e nuovi fornitori stanno lavorando per stabilire le strutture e i controlli più efficaci per particolari mercati e offerte.
Autocustodia, portafogli di scambio e custodi di terze parti sono le varie scelte disponibili per gli utenti per salvaguardare le proprie criptovalute. I custodi nel mondo degli asset digitali funzionano in modo simile ai mercati finanziari tradizionali in quanto il loro compito principale è quello di prendersi cura e proteggere le risorse dei propri clienti detenendo la chiave privata per conto del detentore dell’asset, impedendo l’accesso non autorizzato.
Tuttavia, nonostante tali sforzi, eventi come il crollo di FTX (un exchange di criptovalute e un hedge fund di criptovalute) e la liquidazione di Three Arrows Capital (un hedge fund di criptovalute) hanno scioccato l’industria delle criptovalute. Hanno fatto sì che le persone mettessero in dubbio l’affidabilità e l’integrità dei custodi delle criptovalute.
Per garantire la solidità finanziaria dei depositari, un audit di prova delle riserve (PoR) conferma che le partecipazioni on-chain della società sono identiche alle attività del cliente elencate nel bilancio, rassicurando i clienti che l'attività è sufficientemente solvibile e liquida per continuare fare affari con loro.
Questo articolo discuterà cos'è un audit con prova delle riserve, perché le prove delle riserve sono importanti, come accedere alla prova delle riserve e come verificare le prove delle riserve.
Che cos'è una prova di riserva?
Nella finanza tradizionale, le riserve sono i profitti di un’azienda tenuti da parte per essere utilizzati in circostanze impreviste. Al contrario, nel settore delle criptovalute, una prova delle riserve si riferisce a un audit indipendente condotto da una terza parte per confermare che l'entità sottoposta a audit dispone di riserve sufficienti per supportare i saldi di tutti i suoi depositanti.
Per i fornitori di servizi di asset digitali affidabili ed esperti, sottoporsi a un audit di prova delle riserve è un passaggio fondamentale nel processo di regolamentazione. L'audit PoR garantisce ai clienti e al pubblico che il depositario è sufficientemente liquido e solvibile e che può prelevare fondi in qualsiasi momento, garantendo trasparenza sulla disponibilità dei propri fondi.
Un audit di prova di riserva avvantaggia anche le società crittografiche che agiscono come custodi, poiché garantendo un sostegno assoluto delle risorse, possono fidelizzare i clienti e aumentare la fiducia nelle loro operazioni. Inoltre, attraverso il PoR, agli scambi centralizzati è vietato investire il denaro dei depositanti in altre società, riducendo al minimo il rischio che le aziende massimizzino i rendimenti dei propri beni di consumo. Inoltre, tale audit aiuta anche a prevenire la probabilità che si verifichino eventi come la grande crisi finanziaria del 2007-2008.
Come funziona un audit con prova di riserva?
Prima di comprendere come funziona una prova di riserva, familiarizziamo con il processo di revisione generale. In generale, l’audit dovrebbe valutare la solvibilità di una borsa, che produce solo due risultati: o la borsa è solvibile se le sue attività superano le sue obbligazioni o passività o insolvente in tutti gli altri casi. Tuttavia, è possibile che vi siano casi in cui questo risultato binario sia insufficiente, ad esempio quando una borsa deve dimostrare riserve frazionarie.
Nel caso delle riserve frazionarie, una parte dei depositi di una borsa viene mantenuta come riserva e resa immediatamente accessibile per il ritiro (come contanti e altre attività altamente liquide), mentre il saldo rimanente dei fondi viene prestato ai mutuatari.
La procedura di audit può essere suddivisa in tre fasi distinte:
Prova di passività
Le passività dell’exchange sono i saldi di criptovaluta in sospeso dovuti ai suoi clienti. La somma di tutti i saldi dei conti dei clienti viene utilizzata per calcolare le passività totali dello scambio. Per determinare la solvibilità, l'importo calcolato viene successivamente confrontato con le riserve totali. La componente prova di passività calcola anche l'hash del fattore di frazione e la radice di un albero Merkle.
Le informazioni sull'account utente vengono utilizzate per costruire un albero Merkle utilizzando l'hash crittografico dell'identità del cliente e l'importo dovuto al cliente verrà utilizzato per generare una foglia dell'albero. I nodi nel livello successivo dell'albero vengono creati accoppiando insieme le foglie e sottoponendole ad hashing; per costruire la radice dell'albero, i nodi vengono uniti e sottoposti ad hashing.
Prova delle riserve
Le risorse che l'exchange ha archiviato sulla blockchain come criptovalute sono chiamate riserve. Il totale delle attività viene calcolato sommando i saldi degli indirizzi crittografici se l'exchange possiede le chiavi private di tali indirizzi.
Fornendo la chiave pubblica collegata all’indirizzo di una criptovaluta e firmandola con la chiave privata, l’exchange può dimostrare di essere il legittimo proprietario dell’indirizzo crittografico. Per maggiore sicurezza, l’exchange dovrebbe anche firmare un nonce (come l’hash del blocco più recente aggiunto alla blockchain), un valore che può essere utilizzato per convalidare la firma. Gli output della prova delle riserve sono la somma e l'hash dei saldi degli indirizzi.
Il programma di audit non deve analizzare l’intera blockchain per determinare quali saldi dovrebbero essere sommati; utilizza invece un preprocessore, un aggregato deterministico di dati facilmente accessibili al pubblico.
Se vengono forniti valori di input identici, una funzione deterministica produrrà sempre gli stessi risultati. Questo è un criterio fondamentale per qualsiasi blockchain poiché è difficile raggiungere il consenso se le transazioni non danno lo stesso risultato ogni volta che vengono eseguite, indipendentemente da chi le avvia e da dove si sono verificate.
Prova di solvibilità
I risultati dell'audit e un attestato che può essere utilizzato per confermare che il software di audit è stato eseguito in un ambiente affidabile sono i due componenti della prova della solvibilità di uno scambio di criptovaluta.
Il risultato finale dell'audit è vero o falso (un numero binario). Sarà vero se le riserve superano le passività e falso altrimenti. L'attestazione funge da firma per gli hash del programma eseguito e le misurazioni della piattaforma. Il consumatore può verificare che il calcolo tenga conto del saldo del suo conto utilizzando la radice dell’albero Merkle.
Come vengono condotti gli audit PoR?
Il processo di verifica della prova delle riserve viene spesso eseguito da un revisore esterno per confermare che le attività nel bilancio di un custode di criptovalute sono sufficienti a bilanciare le partecipazioni dei suoi clienti. Nel processo sono coinvolti i seguenti passaggi:
Il revisore esterno o la società di revisione effettua inizialmente un’istantanea anonima dei saldi dell’istituto. Un revisore organizza questi saldi in un albero Merkle, che contiene dati di custodia e ha diversi rami autenticati utilizzando codici hash.
Il revisore raccoglie quindi i contributi dei singoli utenti utilizzando le firme distintive di ciascun titolare del conto.
Il passaggio successivo prevede l’autenticazione se le risorse dei clienti sono detenute su base di riserva completa, ovvero se i saldi riportati dai singoli contributori sono almeno uguali a quelli ottenuti dall’albero Merkle. Viene fatto confrontando le firme digitali con i record dell'albero Merkle.
Dopo l'audit PoR, gli utenti possono verificare le proprie transazioni. Ad esempio, se qualcuno ha conservato le proprie risorse crittografiche su Binance, può trovare la propria foglia Merkle e l'ID record accedendo al sito web di Binance, facendo clic su "Portafoglio" e quindi su "Audit".
Il passo successivo è scegliere la data dell'audit per confermare il tipo di audit, le risorse coperte, il tuo ID record e i saldi delle tue attività inclusi nel rapporto di attestazione di un revisore relativo all'audit della prova delle riserve di Binance.
Vantaggi degli audit con prova di riserva
L’audit PoR presenta numerosi vantaggi, poiché rivela che il possesso di criptovaluta on-chain da parte degli scambi corrisponde ai saldi degli utenti. Ad esempio, attraverso l'audit della prova di riserva, è possibile verificare se token come Wrapped Bitcoin (wBTC) sono effettivamente supportati da Bitcoin (BTC). Le applicazioni finanziarie decentralizzate ricevono le informazioni di cui hanno bisogno per verificare le riserve di Wrapped Bitcoin da una rete di oracoli Chainlink che controllano il saldo BTC del custode sulla blockchain di Bitcoin ogni 10 minuti.
Inoltre, le prove delle riserve attraggono le autorità di regolamentazione come un approccio di autoregolamentazione che si adatta alla loro ampia strategia industriale. Inoltre, affrontare la mancanza di fiducia causata dall’incapacità degli scambi di coprire i depositi dei consumatori con attività sufficienti aumenta anche l’adozione dei prodotti.
Inoltre, gli utenti possono verificare in modo indipendente la trasparenza dell’audit della prova di riserva utilizzando un approccio di hashing dell’albero Merkle. Allo stesso modo, gli investitori disporranno di uno strumento di due diligence per acquisire dati rilevanti sulle pratiche di gestione patrimoniale dei clienti di istituti specifici, diminuendo la probabilità di perdere fondi. Allo stesso tempo, gli utenti iniziano a fidarsi dei custodi, il che aiuta questi ultimi a fidelizzare i clienti.
Limitazioni della prova di riserva
Nonostante i vantaggi di cui sopra, l’audit con prova di riserva presenta alcuni svantaggi che non possono essere trascurati. Il problema critico con un audit PoR è che la sua correttezza dipende dalla competenza dell’auditor. Inoltre, un risultato di audit fraudolento può essere prodotto da un revisore terzo in collaborazione con la banca depositaria in questione.
Inoltre, uno scambio di criptovaluta può manipolare i fatti, poiché la correttezza dei saldi verificati è valida solo durante il periodo di verifica. La legittimità dell’audit basato sulla prova della riserva può essere influenzata anche dalla perdita delle chiavi private o dei fondi degli utenti. Inoltre, un audit PoR non può determinare se il denaro è stato preso in prestito per superare l’audit.