Недоліки та вдосконалення методів доказу резервів централізованих бірж

Після колапсу FTX довіра до централізованих установ на ринку значно знизилася. Щоб відновити довіру користувачів, багато бірж почали використовувати метод доказу резервів на основі Меркле-дерева, щоб довести, що вони не використовують активи користувачів. Однак цей метод має деякі основні недоліки і не може повністю гарантувати безпеку коштів.

Ця стаття розгляне дві основні проблеми існуючих методів доказу резервів Merkle Tree та запропонує кілька рекомендацій щодо вдосконалення.

Огляд існуючих методів підтвердження резервів

Поточні підтвердження резервів зазвичай здійснюються традиційними методами аудиту, з наданням звіту надійною сторонньою аудиторською компанією, яка підтверджує, що онлайнові активи біржі (резерви) відповідають загальному залишку активів користувачів (зобов'язання).

Щодо доказу боргу, біржа повинна згенерувати Merkle Tree, що містить інформацію про обліковий запис користувача та баланс активів, для створення анонімного та незмінного знімка активів облікового запису користувача. Користувач може самостійно перевірити, чи міститься його обліковий запис у Merkle Tree.

Щодо підтвердження резервів, біржа повинна надати адреси в ланцюгу, які вона володіє, і перевірити право власності за допомогою цифрового підпису та інших способів.

Аудиторська організація потім порівнює загальну суму активів з обох сторін: зобов'язань і резервів, щоб визначити, чи існує у біржі привласнення коштів.

Основні недоліки існуючих методів

1. Можливо через тимчасовий кредит через аудит

Існуючі довідки про резерви зазвичай базуються на певному моменті часу та мають довгі інтервали між аудитами. Це дає можливість біржам тимчасово позичати кошти під час аудиту, щоб заповнити прогалини, приховуючи дії з привласнення коштів.

2. Можливо, змова з зовнішніми установами для підробки доказів

Наявність лише цифрового підпису не є еквівалентом фактичного володіння активами на відповідній адресі. Біржа може змовитися з зовнішніми установами, використовуючи активи, що не належать їй, для надання онлайнових доказів. Навіть одна й та ж сума коштів може повторно використовуватися кількома установами, і наявні методи аудиту важко виявляють таку шахрайську діяльність.

Пропозиції щодо покращення

Ідеальна система доказу резервів повинна дозволяти перевірку зобов'язань і резервів в реальному часі, але це може призвести до високих витрат і ризику витоку конфіденційності користувачів. Для запобігання підробці доказу резервів без розкриття інформації про користувачів пропонуються наступні дві рекомендації:

1. Введення вибіркових випадкових аудитів

Випадковий аудит з непередбачуваними часовими інтервалами ускладнює біржі маніпулювання залишками на рахунках та активами в ланцюгу. Цей підхід також може стримувати неналежну поведінку через ефект стримування.

Метод реалізації: надійна третя сторона-аудитор випадковим чином надсилає запит на аудит біржі. Біржа повинна негайно згенерувати Merkle Tree, що містить залишки рахунків користувачів на момент часу (позначені за висотою блоку) як доказ зобов'язань.

2. Використання рішення MPC-TSS для прискорення підтвердження резервів

Випадковий аудит вимагає від біржі надати підтвердження резервів у короткий термін, що є великою проблемою для біржі, яка управляє великою кількістю адрес в мережі. Навіть якщо більшість активів зберігається на кількох фіксованих адресах, об'єднання коштів серед безлічі адрес все ще займає багато часу, що може залишити простір для зловживань.

Одним з можливих рішень є використання технології MPC порогового підпису (MPC-TSS). MPC-TSS ділить приватний ключ на кілька зашифрованих фрагментів, які зберігаються кількома сторонами. Власники можуть спільно підписувати транзакції без обміну або об'єднання приватних ключів.

У цій схемі аудиторська організація може зберігати одну частину приватного ключа, біржа зберігає решту частин. Встановлення "порогу" більше одиниці дозволяє біржі контролювати активи. Водночас схема MPC-TSS повинна підтримувати протокол BIP32 для генерації великої кількості спільних адрес.

Аудиторська організація має фрагменти приватних ключів, може визначити набір адрес біржі в ланцюгу та підрахувати обсяг активів на заданій висоті блоку, що дозволяє більш ефективно проводити підтвердження резервів.

Завдяки цим покращенням система доказу резервів має надію краще захистити безпеку активів користувачів, підвищити прозорість та довіру централізованих бірж.