Pourquoi les audits des plateformes d'échange de Bitcoin ne vont T assez loin

Les plateformes d’échange de Bitcoin ont encore du chemin à parcourir pour prouver leur bonne réputation aux clients, affirment les experts qui les ont inspectées – mais des solutions sont à portée de main.

La semaine dernière

CoinDesk a exploré l'échange de Bitcoin Kraken, et vous a montré comment l'entreprise a fait de son mieux pour prouver qu'elle possédait les bitcoins qu'elle prétendait posséder.

Stefan Thomas, expert en Bitcoin , a utilisé des preuves cryptographiques pour confirmer que la bourse américaine ne serait T prise au dépourvu en cas de ruée sur ses bitcoins, et qu'elle ne serait T soudainement embarrassée, à la manière de Mt. Gox, de découvrir qu'un pirate informatique avait secrètement volé ses pièces.

Kraken a passé l'inspection avec brio, caravoir d'autresMais les inspections sont-elles allées suffisamment loin ? Quelle doit être la profondeur d'un audit et quels autres aspects doivent-ils couvrir ?

Pourquoi des améliorations sont nécessaires

L'audit mené par Thomas s'est concentré sur le nombre de bitcoins que possédait la plateforme et sur celui qu'elle devait à ses clients. Dans un environnement d'échange légitime, le premier devrait être plus important que le second.

L'audit de Kraken fait suite à une vague d'activité à la suite de la débâcle de Mt Gox, au cours de laquelle les échanges se sont mobilisés pour rassurer les clients qu'ils avaient les bitcoins qu'ils prétendaient détenir.

« C'est une réaction à Mt Gox », explique Thomas. L'entreprise, qui a suspendu les retraits puis annoncé avoir perdu des centaines de milliers de bitcoins, a suscité la colère des utilisateurs.

Les choses étaient encore pires auparavant, a déclaré Thomas à CoinDesk, en déclarant :

« Je me souviens de l'époque où ces services étaient gérés de manière anonyme et où la calamité de MyBitcoin.com s'est produite, et à ce moment-là, presque plus ONE n'utilisait un service géré de manière anonyme. »

Il s'agissait d'une référence au portefeuille exploité de manière anonyme quia prétendu avoir perduun peu plus de la moitié des bitcoins de ses utilisateurs.

Il a ajouté : « À l’avenir, les gens T plus d’échanges qui T aucune forme d’audit. »

Ces inspections ont été une tentative de tous les instants pour fournir quelque chose de tangible dans un court laps de temps, mais il est peu probable qu’elles constituent la solution ultime.

Quand un audit n’est-il pas un audit ?

Jesse Powell, PDG de Kraken, a déclaré qu'il prévoyait déjà de donner suite à l'audit initial de sa bourse dans un avenir NEAR .

[post-citation]

Un porte-parole de Coinbase, qui a également effectué une inspection par un tiers de ses réserves de Bitcoin , a ajouté qu'il effectuait également des inspections de suivi plus complètes.

Que devraient couvrir ces inspections, et qu'est-ce qui a été omis la première fois ? Nous pouvons Guides beaucoup d'Andreas Antonopoulos, responsable de la sécurité chez Blockchain, qui a été appelé pour inspecter les réserves de Bitcoin de Coinbase en février dernier.

« Audit »T un mot jetable, a déclaré Antonopoulos, qui ne faisait T spécifiquement référenceà son inspection comme un audit la première fois.

Il préfère parler de contrôle ponctuel, ajoutant : « J’ai volontairement utilisé un langage moins direct, car à mon avis, un audit est bien plus complet et rigoureux. Si vous voyez un audit qui dure moins de trois ou quatre semaines, ce n’est T un audit. »

« [Lors d'un audit], ils visitent les sites et ils ont des équipes pour créer un rapport complet et le signer. »

Mise en œuvre d'audits complets

Un audit approprié ne se concentrerait T uniquement sur les réserves de Bitcoin , a poursuivi Antonopoulos, affirmant qu'un audit satisfaisant des échanges de Bitcoin nécessiterait trois grands domaines :

• Réserves de Bitcoin

L’audit des réserves de Bitcoin prouve que la bourse possède les bitcoins qu’elle prétend détenir.

• Opérations Fiat

Une plateforme d'échange peu scrupuleuse, ne disposant pas de suffisamment de bitcoins pour couvrir les comptes de ses clients, pourrait tout simplement en acheter davantage avec des dollars ou une autre devise, et masquer les éventuels écarts de ses comptes en transférant simplement de l'argent des monnaies fiduciaires vers les Bitcoin et inversement. Idéalement, les auditeurs d'une plateforme d'échange de Bitcoin devraient examiner les comptes fiduciaires de l'entreprise pour détecter ce phénomène.

• Sécurité

Une vérification des systèmes de cybersécurité actuels de l’entreprise confirmerait que rien n’a été visiblement piraté.

Cependant, ces points à eux seuls ne satisfont pas aux critères d’Antonopoulos pour un véritable audit.

Les entreprises évoluent T , et un audit approprié doit inclure un élément de pérennité. Il divise donc chacun de ces trois domaines en deux : les contrôles immédiats et la gouvernance prospective.

Cela nous donne une structure comme ONE -ci (photo), qui, selon lui, serait celle de tout audit Bitcoin véritablement complet :

Des défis se posent tant au niveau des contrôles ponctuels qu'au niveau de la gouvernance. Pour commencer, un audit Bitcoin véritablement complet devrait couvrir plusieurs disciplines.

Il existe de nombreux très bons technologues du Bitcoin dans le monde, ainsi que de nombreux bons comptables, mais il n'y a T beaucoup de chevauchement.

« C'est une entreprise qui pourrait générer des revenus importants et offrir un service utile au secteur », a déclaré Antonopoulos. « Elle regrouperait des experts-comptables et des auditeurs financiers, des auditeurs en sécurité informatique et des experts en cryptomonnaies, et serait en mesure de réaliser des audits spécialisés pour ce type d'entreprises. »

Pour l’instant, c’est quelque chose que les bourses doivent toutefois mettre en place elles-mêmes.

Jesse Powell, qui a déclaré qu'il travaillait sur des audits couvrant le côté fiat de son opération, a développé les idées d'Antonopoulos :

Le cabinet devra posséder une solide maîtrise du Bitcoin et des Crypto, être capable de réviser le code ou d'en écrire lui-même, être conscient des risques de compromission de l'audit par l'une ou l'autre des parties et être capable de les prévenir. Traditionnellement, ces compétences ne sont pas reconnues par les cabinets comptables.

Le futur audit de Kraken tiendra compte de ces questions. L'entreprise travaille à un audit basé sur les monnaies fiduciaires, a-t-il déclaré, expliquant :

Le prochain ONE sera complet et couvrira toutes les cryptomonnaies et les monnaies fiduciaires. Il sera suivi d'autres audits portant sur l'ensemble de l'entreprise, notamment sur l'équipe de direction, la sécurité, ETC

Coinbase a également confirmé qu'il se concentrerait sur les contrôles des monnaies fiduciaires et des Cryptomonnaie pour son prochain audit.

Ce défi est suffisamment intimidant pour les bourses qui tentent de développer leur activité et de faire face à une pléthore deréglementaire et les obstacles techniques. Et ce n'est ONE aperçu. Les audits sont censés être répétés pour garantir la conformité des entreprises.

Pourquoi les échanges ont besoin d'audits répétés

À l'heure actuelle, les preuves de réserves de Kraken et Coinbase vieillissent : ce sont des instantanés du passé. Plus ces instantanés vieillissent, moins ils sont pertinents. Des audits répétés KEEP la plateforme d'échange, garantissant ainsi la sécurité des fonds des clients.

Cependant, il existe une autre raison pour laquelle les audits doivent être répétés, explique Thomas : le fait que les audits ultérieurs soient traités par différentes parties réduit la nécessité de faire confiance à un ONE expert, comme lui-même.

« La confiance dans ces audits est instaurée par le fait qu'ils sont répétés par différentes personnes. Il semble moins probable que l'échange mente ou corrompe l'auditeur. »

À cette fin, il a décidé de ne procéder à aucun audit complémentaire pour Bitfinex ou Kraken, afin d'encourager ces entreprises à recourir à d'autres auditeurs tiers. Bien qu'il n'en ait pas prévu pour le moment, il est néanmoins disposé à réaliser des audits pour d'autres plateformes d'échange.

Il existe des moyens d’accroître l’impact continu d’un audit, en garantissant une bonne gouvernance, et cela peut être fait dans plusieurs des domaines d’audit mis en évidence ici.

En matière de cybersécurité, les programmes white hat sont certes louables pour détecter les bugs logiciels, mais il est également important de vérifier que les entreprises disposent de contrôles suffisants pour éviter tout piratage ultérieur. Il existe des normes bien établies à cet effet, comme laISO 27000série, etCOBIT.

Du côté des réserves de Bitcoin , il devrait être possible d'effectuer des contrôles ponctuels automatisés réguliers qui sont automatiquement mis à jour chaque jour, a suggéré Antonopoulos.

Un échange pourrait hacher automatiquement leRacine de Merklepour son stockage à froid, pour créer une preuve de ses actifs – les bitcoins qu’il a en main.

Il pourrait également hacher le solde des comptes utilisateurs pour créer une racine Merkle pour les bitcoins détenus sur les comptes de ses clients, ce qui constituerait une preuve de responsabilité.

Ces deux racines de Merkle pourraient alors être comparées ensemble.

Comment les utilisateurs pourraient-ils vérifier automatiquement que leurs soldes ont été inclus dans la preuve de passif ? Ils pourraient utiliser la même fonctionnalité mise en œuvre lors de l'audit Kraken, permettant aux utilisateurs de vérifier personnellement que leur adresse a été incluse dans l'arbre ayant créé la racine Merkle.

Automatiser le processus

Le problème est qu'actuellement, les utilisateurs d'une plateforme d'échange doivent être techniquement compétents pour effectuer ces vérifications, ce qui signifie que beaucoup d'entre eux ne le T. Cette vérification pourrait être effectuée pour eux à l'aide d'un logiciel vérifié de manière indépendante, a déclaré Antonopoulos :

«ONEun des aspects que nous souhaiterions voir dans le secteur est un widget beaucoup plus convivial. Imaginons qu'un widget JavaScript tiers s'affiche sur la page, provenant d'un service tiers, et effectue la vérification des Crypto Pour vous. Une coche verte s'affiche avec le solde. »

La communauté Bitcoin ne reste T immobile longtemps et au moins un tel système existe déjàCe système de preuve de solvabilité peut être intégré aux échanges pour offrir à la fois une preuve de responsabilité et une preuve de solvabilité,dit son créateur.

Et, oui, il existe un widget basé sur un navigateur conçu pour vérifier automatiquement que le solde d’un utilisateur a été inclus dans un hachage représentant le passif d’une bourse.

Les échanges Bitcoin qui ont fait un effort pour rassurer les clients de cette manière sont sur la bonne voie, mais effectuer un audit financier est une tâche ardue lorsque vous êtes une nouvelle organisation traitant d'une toute nouvelle classe d'actifs que de nombreux comptables ne comprennent même T .

Espérons que davantage de plateformes d'échange se mobiliseront bientôt pour prouver non seulement leurs réserves de Bitcoin , mais aussi leur bonne gouvernance dans d'autres domaines. À l'instar du réseau Bitcoin et de son écosystème économique, la capacité des plateformes à prouver leur bonne réputation à leurs clients reste un travail en cours.

Outilsimage via Shutterstock